iOSを狙う新たなマルウェア、削除しようとしても"復活" - パロアルトN
YiSpecterは、iOSシステム内でプライベートAPIを不正使用し、端末に攻撃するタイプのマルウェア。エンタープライズ証明書を悪用することで、端末がジェイルブレイクされているかを問わず攻撃できる。
主に中国本土と台湾での感染が確認されている。主な侵入経路は、ISPからのトラフィックのハイジャック、Windows上のSNSワーム、オフラインアプリのインストールやコミュニティでの拡散など独特だという。
YiSpecterが初めて確認されてから10カ月以上たった今でも、セキュリティ対策が遅れていると指摘している。ブログの執筆時点(10月4日ごろ)では、無料検査サービス「VirusTotal」に採用されているセキュリティ・ベンダー57社のうち、マルウェアを検出できたのは1社だけであったという。
YiSpecterの実体は、エンタープライズ証明書で署名された4つのコンポーネント。
プライベートAPIを悪用し、コマンドアンドコントロール(C2)サーバからこれらコンポーネントを互いにダウンロードおよびインストールする。悪質なコンポーネントのうち3つは、ユーザーにより発見されて削除されることを防ぐため、iOSのSpringBoardからアイコンを非表示にするよう細工している。コンポーネントはiOSの上級ユーザーを偽るために、システムアプリと同じ名前とロゴを使用している。
YiSpecterはiOS端末に感染することで、端末内で以下のことが実行できる。
任意のiOSアプリをダウンロード、インストール、起動
ダウンロードしたアプリへの既存アプリを置き換え
広告表示のため他のアプリ実行をハイジャック
Safariのデフォルトの検索エンジン、ブックマーク、開いたページの変更
C2サーバーへの端末情報のアップロード
ユーザーが通常のアプリを開くとフルスクリーン広告を表示
ユーザーは、サードパーティのツールを使用することで、感染した端末上で追加された不審な「システムアプリ」を見つけることが可能だが、一度YiSpecterをインストールしてしまうと、手動でマルウェアを削除しようとしても自動的に復活してしまう。
提供元の記事
提供:
