非脱獄のAppleデバイスを攻撃するiOSマルウェア、YiSpecter

YiSpecterマルウェアは主に中国と台湾のiPhoneユーザーに影響を与えています

サイバーセキュリティ企業Palo Alto Networksの研究者たちは、APIを悪用してiOSデバイスに感染し、Webブラウジング中や他のアプリ内で広告を注入する新しいマルウェアを特定しました。これは、非脱獄デバイスをターゲットにし、感染に成功した最初のiOSマルウェアであると研究者たちは述べています。

YiSpecterと名付けられたこのマルウェアは、主に中国と台湾のユーザーに4つの異なる方法で影響を与えています。

ユーザーはLingdunワームの助けを借りてマルウェアに感染する可能性があります。このワームはQQソーシャルネットワークとそのファイル共有インターフェースを介して機能し、さまざまなデバイスタイプをターゲットにできます。ポルノグラフィックな名前の悪意のあるHTMLファイルがワームによってアップロードされ、ネットワーク内の他のユーザーと共有されます。ユーザーがこれらのファイルにアクセスすると、ページはユーザーがiOSデバイスを使用していることを特定し、YiSpectreアドウェアのバージョンを提供します。

インターネットトラフィックとDNSハイジャックは、感染の2番目の方法です。これは、ローカルISPのサーバーが攻撃者によって感染し、それを利用してYiSpectreと一緒に提供されるiOSアプリのポップアップを表示する場合に発生します。アプリがダウンロードされ、インストールされると、感染が成功します。これらのポップアップは、家庭のWi-FiネットワークからWebを閲覧したときにのみ表示されました。ただし、プロキシブラウザを使用した場合、ポップアップは表示されませんでした。ISPへの苦情のみがポップアップを消すのに役立ちます。

感染の3番目の方法は、オフラインアプリのインストールです。最初の方法と同様に、攻撃者はQVOD Playerバージョン5として宣伝する悪意のあるアプリを作成します。中国当局は、成人向けコンテンツ用の廃止されたモバイルビデオプレーヤーであるQVODを閉鎖しました。この感染方法は、ユーザーがiOSアプリポータルからアプリをダウンロードし、手動でインストールすることに依存しています。さらに、Palo Altoからの主張によれば、一部のメンテナンス供給業者や電話小売業者も現金のために悪意のあるマルウェアをインストールすることがあります。

アプリ（改造されたQVOD Player）の公のプロモーションは、研究者が確認した最後の感染方法です。ユーザーは一般的にこの方法で無許可のiOSアプリポータル（3番目の方法）にリダイレクトされ、最初はアプリに通常さらされていなかったユーザーを獲得するために使用されます。

YiSpecterは、4つのコンポーネントの助けを借りて、脱獄デバイスと非脱獄デバイスの両方に影響を与えることができます。これらのコンポーネントはすべて企業証明書で署名されています。これにより、マルウェアはプライベートAPIを悪用し、互いにダウンロードし、感染のさまざまな段階で他の正当なコンポーネントとして振る舞うことができます。

Palo Alto Networksは、YiSpecterがプライベートAPIを悪用して、4つのコンポーネント（企業証明書で署名された）を中央サーバーからダウンロードおよびインストールさせ、感染のさまざまな段階で他の正当なコンポーネントとして振る舞うことができると述べています。

マルウェアは、感染段階が完了すると、これらのコンポーネントによって追加された4つのアイコンのうち3つを削除し、最後のアイコンをAppleのシステムアプリの1つとして隠します。

ユーザーの電話にインストールされると、WiSpectreは他の任意のiOSアプリをダウンロード、インストール、起動し、正当なアプリを置き換え、既存のアプリをハイジャックし、起動するたびに広告のインタースティシャルを表示します。

マルウェアはまた、Safariのデフォルトの検索エンジンを変更し、ブックマークを変更し、現在開いているページを変更し、電話の詳細やユーザーの活動をC&Cサーバーに報告することができます。

Palo Altoの研究者によると、このマルウェアは2014年11月に最初に発見されました。マルウェアは10ヶ月以上にわたってiOSデバイスに感染しています。現在、VirusTotalのAVエンジンのうち1つ、Chinese antivirus company Qihooによってのみ検出されています。Qihooは2015年2月にもこの件について報告しています。

YiSpectreがデバイスに感染するために使用する4つのコンポーネントのうち3つは、中国のモバイル広告プラットフォームであるYingMob Interactiveに発行された証明書で署名されていますと、同じPalo Altoの研究者は指摘しています。マルウェアが使用した一部のIPアドレスもいくつかのYingMobサーバーを参照しています。

さらに、同社はHaoYi Apple Helperというアプリも開発しましたが、これは偶然かどうかは不明ですが、地下フォーラムで感染したQVOD Playerのプロモーションメッセージを投稿しているユーザーの名前と同じです（感染の4番目の方法を参照）。

しかし、アプリの名前は後にFengniao Helperに変更され、Apple Storeから有料iOSアプリを無料でインストールするのを助けると述べています。Palo Altoによれば、Appleアカウントの資格情報を盗み、それを利用して公式ストアから有料アプリを盗み、脱獄デバイスに無料でインストールするiOSトロイの木馬KeyRaiderの機能に似ています。

AppleはPalo Altoからの脅威について通知を受けており、AppleはYiSpecterの4つのコンポーネントをインストールするために使用される証明書のキャンセルを開始します。

先月、XcodeGhostという別のマルウェアが中国のApp Storeで人気のあるアプリのほぼ40個に感染しました。これは非常に珍しいことで、Appleは最初にアプリに厳格なセキュリティを課しています。両方のマルウェアのユニークな性質にもかかわらず、Palo Alto NetworksはXcodeGhostとYiSpecterが関連しているという証拠はないと述べています。

Palo Alto Networksのブログ投稿には、YiSpecterに関する詳細情報や、デバイスからの削除手順が詳しく記載されています。