正規版のiOSを狙う攻撃、FireEyeが最新バージョンへのアップデート呼びかけ

であるが、攻撃者はバンドル識別子を用いてアプリを導入できる。このスキームでは、EnPublic攻撃が再び使用されている。

悪意あるMasque Attackアプリは、MachO形式のLC_LOAD_DYLIBコマンドを悪用し、悪意あるdylib(＝「_PkgSign」)を正規の実行ファイルに注入する。このdylibは悪意あるコアロジックを実装している。

Masque Attackアプリはそれぞれ本質的に異なるため、情報窃取に際してdylibは異なるメソッドをフックする必要がある。悪意あるdylibは、リモートサーバが制御する悪意ある動作を管理するため、「TIGI000」で始まるIDとカスタマイズ済みのクラスをそれぞれのMasque Attackアプリに割り当てる。

注入後のdylibは正規の実行ファイル内で、38種類のクラスによる機密性の高い52種類の関数をフックする。フック対象のクラスのメソッドはすべて、正規アプリの主要関数に対応する。例えば、WhatsAppのメッセージを傍受するには、[SKPConversation OnMessage:andMessageobjectid:]が、WeChatの会話を録音するには[VideoVoipCallerView OnBeginTalk:]がフックされる。