犯罪者たちは、iOSユーザーの生活を悲惨なものにすることを目的とした新たなマルウェアを考案しました。セキュリティ企業Palo Alto Networksによると、「AceDeceiver」は企業証明書やデバイスのジェイルブレイクを必要とせずにデバイスに感染します。
パロアルトネットワークス:
AceDeceiverは、AppleのDRM保護メカニズム(FairPlay)における特定の設計上の欠陥を悪用し、iOSデバイスがジェイルブレイクされているかどうかに関わらず、悪意のあるアプリをインストールする、初めてのiOSマルウェアです。この手法は「FairPlay中間者(MITM)」と呼ばれ、2013年から海賊版iOSアプリの拡散に使用されてきましたが、マルウェアの拡散に使用されたのは今回が初めてです。(FairPlay MITM攻撃手法は2014年のUSENIXセキュリティシンポジウムでも発表されましたが、この手法を用いた攻撃は依然として成功しています。)
Appleからアプリをダウンロードする際、デバイスはAppleのサーバーにアプリがユーザーによって購入されたことを証明するコードを要求します。MITM攻撃は、ハッカーがiOSデバイスを騙して、アプリが被害者によって購入されたと思わせることを可能にします。Windowsソフトウェア「Aisi Helper」はiTunesの動作を模倣し、便利なツールを装いながら、標的に気づかれることなく悪意のあるiOSアプリをインストールします。
これらの悪意のあるiOSアプリは、ユーザーがiOSアプリやゲームをダウンロードできるよう、作者が管理するサードパーティのアプリストアへの接続を提供します。より多くの機能を利用するためにApple IDとパスワードを入力するようユーザーに促し、入力された認証情報は暗号化された後、AceDeceiverのC2サーバーにアップロードされます。
2015年7月から2016年2月の間に、AceDeceiverコードを含む3つの異なるアプリがApp Storeにアップロードされました。これらのタイトルはApple独自のコードレビューに「少なくとも」3回合格し、Palo Altoからの報告を受けて削除されました。
このマルウェアの手口は、iOSデバイスへの拡散前に、ユーザーがWindowsアプリ「Aisi Helper」をコンピュータにダウンロードする必要がある点に注意してください。ダウンロードしてしまった方は、直ちにコンピュータから削除し、Apple IDのパスワードを変更してください。このようなケースではよくあることですが、疑わしいソフトウェアをコンピュータにダウンロードしないことで、これらの被害を回避できます。
これらのアプリはiOSデバイスにインストールされている限り脅威となりますが、現時点では中国本土のユーザーのみを対象としているようです。この最新の攻撃に関する詳細については、Palo Altoのウェブサイトをご覧ください。このウェブサイトには、この件に関する膨大な情報が掲載されています。
