正規版のiOSを狙う攻撃、FireEyeが最新バージョンへのアップデート呼びかけ

最後に、すべてのデータはJSON形式でリアセンブルされ、リモートサーバに送信される。itemsのフィールドには、通信アプリのチャットデータ、位置情報、通話履歴など、さまざまな種類のデータが格納されている。

リモートサーバと悪意ある動作は、URL経由で構成が可能であり、再パッケージされた各サンプルでは、カスタマイズされたURLスキームがInfo.plistファイルに追加されている。

悪意あるdylibは「application:openURL:sourceApplication:annotation:」関数をフックすることで、URLスキームが開かれた際の構成データを解析できる。構成データはJSON形式でのシリアル化、Base64によるエンコードをへて、カスタマイズされたURLスキームの直後に添付される。攻撃者は、デバイス上のSMS/メール/Webページを通じ、ターゲットとなった被害者がこうしたURLをクリックするよう誘導するとともに、リモートサーバなどのターゲットの構成をカスタマイズできる。

同社は、「iOSデバイスをターゲットとする高度な攻撃が台頭しつつあることが判明した」とし、すべてのiOSユーザーに対し、デバイスのiOSを常に最新版にすること、アプリのダウンロード・プロセスに細心の注意を払うことを呼び掛けている。