Lamiyi

Palo Alto Networksは、「KeyRaider」と呼ばれる新たなiOSマルウェアファミリーを特定しました。このマルウェアは、ジェイルブレイクされたデバイスから22万5000件以上の有効なAppleアカウントとそのパスワードを盗み出しました。同社はWeipTechの協力を得て、マルウェアによるAppleアカウント窃盗事件としては過去最大規模となる可能性のある、この事件の原因となったマルウェアのサンプルを92件発見しました。

KeyRaiderは、主に中国でサードパーティのCydiaリポジトリを通じて配布されています。MobileSubstrateを介してシステムプロセスをフックし、iTunesトラフィックを傍受することでAppleアカウントのユーザー名、パスワード、デバイスのGUIDを盗みます。また、Appleプッシュ通知サービスの証明書と秘密鍵を盗み、App Storeの購入情報を盗んで共有し、iPhoneとiPadのローカルおよびリモートのロック解除機能を無効化します。

盗まれたデータはコマンド アンド コントロール サーバーにアップロードされ、2 つの脱獄ツール (iappstore と iappinbuy) によって使用され、App Store での無料購入が可能になります。

これら2つの改ざんは、アプリの購入リクエストを乗っ取り、盗まれたアカウントや購入レシートをC2サーバーからダウンロードし、iTunesプロトコルをエミュレートしてAppleのサーバーにログインし、ユーザーがリクエストしたアプリやその他のアイテムを購入します。これらの改ざんは2万回以上ダウンロードされており、約2万人のユーザーが盗まれた22万5000件の認証情報を悪用していると推測されます。

コマンド＆コントロールサーバーの脆弱性により、研究者はアカウントの存在が検知されブロックされる前に、約半数のアカウントをダウンロードすることができました。ご自身のアカウントが侵害されたアカウントのリストに含まれているかどうかを確認するには、こちらをクリックしてください。

デバイスが侵害されているかどうかを確認するより良い方法は、デバイス上の文字列を検索することです。

1. Cydia 経由で openssh サーバーをインストールします
2. SSH 経由でデバイスに接続します
3. /Library/MobileSubstrate/DynamicLibraries/ に移動し、このディレクトリの下にあるすべてのファイルに対して次の文字列を grep で検索します:
● wushidou
● gotoip4
● bamu
● getHanzi

dylibファイルにこれらの文字列のいずれかが含まれている場合、Palo Alto Networksは、そのファイルと同名のplistファイルを削除し、デバイスを再起動することを推奨しています。また、影響を受けたすべてのユーザーは、マルウェアを削除した後、Appleアカウントのパスワードを変更し、Apple IDの2要素認証を有効にすることを推奨します。

さらに悪いことに、KeyRaider はデバイスとアカウントを人質に取る能力を持っています。

これまでのiPhoneランサムウェア攻撃の中には、iCloudサービスを介してiOSデバイスをリモート操作するものがあります。これらの攻撃の一部は、アカウントのパスワードをリセットしてiCloudの制御を取り戻すことで回避できます。しかし、KeyRaiderは違います。正しいパスコードやパスワードが入力されたかどうかにかかわらず、あらゆる種類のロック解除操作をローカルで無効化できます。また、盗んだ証明書と秘密鍵を使用して、Appleのプッシュサーバーを経由せずに直接、身代金を要求する通知メッセージを送信できます。この機能により、以前使用されていた一部の「救済」手段はもはや有効ではなくなりました。

マルウェアの動作に関する詳細は、以下のリンクをご覧ください。いつものように、信頼できるソースまたはデフォルトのリポジトリからの調整ツールのみをインストールすることをお勧めします。

最新情報については、 Twitter、Facebook、またはRSSで iClarified をフォローしてください。

続きを読む