YiSpecter: プライベートAPIを悪用して非ジェイルブレイクiOS端末を攻撃する初のiOSマルウェア

This post is also available in: English (英語)

概要

パロアルトネットワークスは、新しいApple iOSマルウェアを発見し、「YiSpecter（イースペクター）」と名付けました。YiSpecterはiOSシステム内でプライベートAPIを不正使用し、ジェイルブレイクされたiOS端末だけでなくジェイルブレイクされていない端末も攻撃する、インターネット上で初めて確認されたマルウェアです。

現時点では、主に中国本土と台湾のiOSユーザーが本マルウェアに感染しています。YiSpecterは全国的なISPからのトラフィックのハイジャック、Windows上のSNSワーム、オフラインアプリのインストールやコミュニティでの拡散などの独特な手法で拡がっています。多くの被害者がオンラインフォーラム上でジェイルブレイクおよび非ジェイルブレイクiPhoneでのYiSpecter感染について、Appleに報告しています。本マルウェアは10か月以上インターネット上に存在していますが、この記事の執筆時点で無料検査サービスVirusTotalに採用されているセキュリティベンダー57社のうち、マルウェア検出できているのは1社だけです。

YiSpecterはエンタープライズ証明書で署名された4つのコンポーネントにより構成されています。プライベートAPIを悪用することで、コマンドアンドコントロール (C2) サーバーからこれらコンポーネントを互いにダウンロードおよびインストールします。これら悪質なコンポーネントのうち3つは、ユーザーにより発見されて削除されることを防ぐため、iOSのSpringBoardからアイコンを非表示にするよう細工します。また、これらコンポーネントはiOS上級ユーザーを偽るために、システムアプリと同じ名前とロゴを使用しています。YiSpecterは感染したiOS端末において、以下のことが実行できます。

• 任意のiOSアプリをダウンロード、インストール、起動
• ダウンロードしたアプリへの既存アプリを置き換え
• 広告表示のため他のアプリ実行をハイジャック
• Safariのデフォルトの検索エンジン、ブックマーク、開いたページの変更
• C2サーバーへの端末情報のアップロード

被害者の報告によると、過去数か月にわたるYiSpecterの攻撃でこれらすべての振る舞いが確認されています。本マルウェアに関する他の特徴は以下のとおりです。

本マルウェアはiPhoneがジェイルブレイクされているか否かに関わらず正常にダウンロードおよびインストールすることが可能

• 手動で本マルウェアを削除しても自動的に再現
• サードパーティ製のツールを使用することで、感染端末上で追加された不審な「システムアプリ」を見つけることが可能
• 感染端末上では、ユーザーが通常のアプリを開くとフルスクリーン広告が表示されることがある

YiSpecterはiOS端末をターゲットにする重大なマルウェア群のなかで最新の系統です。WireLurkerによってエンタープライズ証明書を悪用することで非ジェイルブレイクiOS端末へのマルウェア感染が実証され、一方プライベートAPIに関してはiOSで扱うべき関数を実装するためにどのように使用できるかが議論されてきました。YiSpecterはこれら二つの攻撃手法を組み合わせた実世界における最初のiOSマルウェアであり、広範なユーザーに被害を及ぼします。これはiOSセキュリティの障壁を一歩後退させるものです。

App Storeに存在するアプリのうち100種類以上はプライベートAPIを悪用し、Appleの厳格なコードレビューをすり抜けているという最近の研究結果が示されています。プライベートAPIを悪用する攻撃手法は個別に利用でき、App Storeからのみアプリをダウンロードする通常のすべてのiOSユーザーに感染する可能性があることをこれは意味します。

パロアルトネットワークスはYiSpecterの悪意あるトラフィックをブロックするIPSシグネチャおよびDNSシグネチャをリリースしています。

※ YiSpectorを手動削除する方法、潜在的な回避方法の詳細については英語版の「Prevention and Removal of YiSpecter」をご覧ください。