2015年8月20日 09:17
正規版のiOSを狙う攻撃、FireEyeが最新バージョンへのアップデート呼びかけ
であるが、攻撃者はバンドル識別子を用いてアプリを導入できる。このスキームでは、EnPublic攻撃が再び使用されている。
悪意あるMasque Attackアプリは、MachO形式のLC_LOAD_DYLIBコマンドを悪用し、悪意あるdylib(=「_PkgSign」)を正規の実行ファイルに注入する。このdylibは悪意あるコアロジックを実装している。
Masque Attackアプリはそれぞれ本質的に異なるため、情報窃取に際してdylibは異なるメソッドをフックする必要がある。悪意あるdylibは、リモートサーバが制御する悪意ある動作を管理するため、「TIGI000」で始まるIDとカスタマイズ済みのクラスをそれぞれのMasque Attackアプリに割り当てる。
注入後のdylibは正規の実行ファイル内で、38種類のクラスによる機密性の高い52種類の関数をフックする。フック対象のクラスのメソッドはすべて、正規アプリの主要関数に対応する。
例えば、WhatsAppのメッセージを傍受するには、[SKPConversation OnMessage:andMessageobjectid:]が、WeChatの会話を録音するには[VideoVoipCallerView OnBeginTalk:]がフックされる。