• iOSデバイス
• 脱獄
• マルウェア
• サイディア
• iOSの脱獄

iOS脱獄マルウェアが18カ国で22万5000件のApple IDを盗んだが、あなたが危険にさらされる可能性は低い

パロアルトネットワークスの研究者 らは、iOSマルウェアがジェイルブレイクされたスマートフォンから22万5000件以上のApple IDとパスワードを盗み出し、公式App Storeでの購入に利用していたことを発見した。KeyRaiderと呼ばれるこのマルウェアは、ジェイルブレイクされたiOSデバイスをリモートでロックし、身代金を要求する機能も備えている。

これら2つの改ざんは、アプリの購入リクエストを乗っ取り、盗まれたアカウントや購入レシートをC2サーバーからダウンロードし、iTunesプロトコルをエミュレートしてAppleのサーバーにログインし、ユーザーがリクエストしたアプリやその他のアイテムを購入します。これらの改ざんは2万回以上ダウンロードされており、約2万人のユーザーが盗まれた22万5000件の認証情報を悪用していると推測されます。

しかし、危険にさらされる可能性は極めて低いです。このマルウェアはジェイルブレイクされたデバイスでのみ実行でき、Weiphone が運営する 1 セットの Cydia リポジトリを通じてのみ拡散しているようです。

このマルウェアは、2つの脱獄アプリで使用されていました。これらのアプリを実行すると、Appleの公式App Storeから有料アプリをダウンロードしたり、アプリ内購入を行ったりすることが可能になります。これらの脱獄アプリは、盗まれた認証情報を使用してアプリ内購入を行っていました。

iPhoneまたはiPadが危険にさらされていると思われる場合は、Palo Alto Networksがマルウェアを検出して削除するための以下の手順を公開しています。詳細は同社の長文ブログ記事をご覧ください。

ユーザーは、次の方法を使用して、自分の iOS デバイスが感染しているかどうかを自分で確認できます。

1. Cydia経由でopensshサーバーをインストールする
2. SSH経由でデバイスに接続する
3. /Library/MobileSubstrate/DynamicLibraries/ に移動し、このディレクトリの下にあるすべてのファイルに対して次の文字列を grep で検索します。

• ウシドウ
• gotoip4
• バム
• 漢字を取得する

いずれかの dylib ファイルにこれらの文字列のいずれかが含まれている場合は、それを削除し、同じファイル名の plist ファイルも削除して、デバイスを再起動することをお勧めします。

また、影響を受けたすべてのユーザーは、マルウェアを削除した後、Apple アカウントのパスワードを変更し、Apple ID の2 要素認証を有効にすることをお勧めします。

同社はまた、iOSデバイスをジェイルブレイクしないことが、こうした悪用から保護する唯一の方法であると指摘している。

Re/code経由