非ジェイルブレイクのiOS端末も攻撃するマルウェアが出現

米Palo Alto Networksは、ジェイルブレイクされていないiOS端末も攻撃するマルウェアを発見した模様。「YiSpecter(イースペクター)」と命名されたこのマルウェアは、iOSシステム内でプライベートAPIを不正使用していることが分かっている。

主に中国本土と台湾のiOSユーザーが本マルウェアに感染していると報告しており、全国的なISPからのトラフィックのハイジャック、Windows上のSNSワーム、オフラインアプリのインストールやコミュニティでの拡散といった手法で拡がっている模様である。

YiSpecterは10か月以上インターネット上に存在しているとのことだが、無料検査サービス「VirusTotal」で調査したところ、セキュリティベンダー57社のうち、マルウェア検出できたは10月4日の時点で1社だけだった。

YiSpecterはエンタープライズ証明書で署名された4つのコンポーネントから構成されていて、プライベートAPIを悪用することで、コマンドアンドコントロール (C2) サーバーからこれらのコンポーネントを互いにダウンロードおよびインストールする。コンポーネントのうち3つは、ユーザーの発見による削除を防ぐため、iOSのSpringBoardからアイコンを非表示にするよう細工を施す。