検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

YiSpecter: プライベートAPIを悪用して非ジェイルブレイクiOS端末を攻撃する初のiOSマルウェア

10 05, 2015 at 12:00 午前

※本内容は、2015年10月4日(米国時間)に公開された米国Palo Alto Networksのブログポストの抄訳です

概要

パロアルトネットワークスは、新しいApple iOSマルウェアを発見し、「YiSpecter(イースペクター)」と名付けました。YiSpecterはiOSシステム内でプライベートAPIを不正使用し、ジェイルブレイクされたiOS端末だけでなくジェイルブレイクされていない端末も攻撃する、インターネット上で初めて確認されたマルウェアです。

現時点では、主に中国本土と台湾のiOSユーザーが本マルウェアに感染しています。YiSpecterは全国的なISPからのトラフィックのハイジャック、Windows上のSNSワーム、オフラインアプリのインストールやコミュニティでの拡散などの独特な手法で拡がっています。多くの被害者がオンラインフォーラム上でジェイルブレイクおよび非ジェイルブレイクiPhoneでのYiSpecter感染について、Appleに報告しています。本マルウェアは10か月以上インターネット上に存在していますが、この記事の執筆時点で無料検査サービスVirusTotalに採用されているセキュリティベンダー57社のうち、マルウェア検出できているのは1社だけです。

YiSpecterはエンタープライズ証明書で署名された4つのコンポーネントにより構成されています。プライベートAPIを悪用することで、コマンドアンドコントロール (C2) サーバーからこれらコンポーネントを互いにダウンロードおよびインストールします。これら悪質なコンポーネントのうち3つは、ユーザーにより発見されて削除されることを防ぐため、iOSのSpringBoardからアイコンを非表示にするよう細工します。また、これらコンポーネントはiOS上級ユーザーを偽るために、システムアプリと同じ名前とロゴを使用しています。YiSpecterは感染したiOS端末において、以下のことが実行できます。

  • 任意のiOSアプリをダウンロード、インストール、起動
  • ダウンロードしたアプリへの既存アプリを置き換え
  • 広告表示のため他のアプリ実行をハイジャック
  • Safariのデフォルトの検索エンジン、ブックマーク、開いたページの変更
  • C2サーバーへの端末情報のアップロード

被害者の報告によると、過去数か月にわたるYiSpecterの攻撃でこれらすべての振る舞いが確認されています。本マルウェアに関する他の特徴は以下のとおりです。

本マルウェアはiPhoneがジェイルブレイクされているか否かに関わらず正常にダウンロードおよびインストールすることが可能

  • 手動で本マルウェアを削除しても自動的に再現
  • サードパーティ製のツールを使用することで、感染端末上で追加された不審な「システムアプリ」を見つけることが可能
  • 感染端末上では、ユーザーが通常のアプリを開くとフルスクリーン広告が表示されることがある

YiSpecterはiOS端末をターゲットにする重大なマルウェア群のなかで最新の系統です。WireLurkerによってエンタープライズ証明書を悪用することで非ジェイルブレイクiOS端末へのマルウェア感染が実証され、一方プライベートAPIに関してはiOSで扱うべき関数を実装するためにどのように使用できるかが議論されてきました。YiSpecterはこれら二つの攻撃手法を組み合わせた実世界における最初のiOSマルウェアであり、広範なユーザーに被害を及ぼします。これはiOSセキュリティの障壁を一歩後退させるものです。

App Storeに存在するアプリのうち100種類以上はプライベートAPIを悪用し、Appleの厳格なコードレビューをすり抜けているという最近の研究結果が示されています。プライベートAPIを悪用する攻撃手法は個別に利用でき、App Storeからのみアプリをダウンロードする通常のすべてのiOSユーザーに感染する可能性があることをこれは意味します。

パロアルトネットワークスはYiSpecterの悪意あるトラフィックをブロックするIPSシグネチャおよびDNSシグネチャをリリースしています。

※YiSpectorを手動削除する方法、潜在的な回避方法の詳細については本社ブログ(英語)の続きをご覧ください


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.