パロアルトネットワークスによると、改造されたiOSデバイスを狙う高度なマルウェアによって、22万5000件以上のAppleアカウントの認証情報が盗まれたという。
「KeyRaider」というニックネームが付けられたこのマルウェアは、攻撃者がAppleのApp Storeから無料でアプリケーションをダウンロードしたり、身代金の代わりにデバイスをロックしたりすることを可能にする。
「これはマルウェアによるAppleアカウント盗難としては過去最大規模だと考えている」とパロアルトネットワークスのクロード・シャオ氏はブログ投稿で述べた。
パロアルトネットワークスは8月26日にKeyRaiderについてアップルに通知し、盗まれたアカウント情報を提供したとシャオ氏は記している。シドニーのアップル担当者には月曜日の時点では連絡が取れなかった。
KeyRaiderは、Appleデバイスを「ジェイルブレイク」したユーザーにのみ感染します。ジェイルブレイクとは、デバイスにインストールできるアプリを制限するAppleの保護機能を解除することです。Appleはセキュリティ上の理由から、ジェイルブレイクを推奨していません。
パロアルトネットワークスは、中国のアマチュア技術グループ「WeipTech」と共同でKeyRaiderを調査した。Xiou氏によると、同グループのメンバーで揚州大学の学生がこの攻撃を発見したという。
KeyRaiderは、iOS上で何らかの新機能を実行できるようにするソフトウェアパッケージである脱獄ツール(Jailbreak Tweak)に組み込まれることで拡散しています。このマルウェアは、脱獄済みスマートフォン向けのWeiphoneフォーラムで公開されたTweak内で発見されました。
パロアルトネットワークス 新しい種類の iOS マルウェアである KeyRaider は、携帯電話をロックして身代金を要求することもできます。
Weiphoneで「mischa07」というユーザー名で活動するユーザーが、自身のアプリリポジトリにKeyRaiderを仕込んだ疑いがある。シャオ氏によると、このユーザー名がマルウェアの暗号化・復号鍵としてKeyRaiderにハードコードされていたという。
mischa07 のリポジトリを分析すると、このユーザーが Weiphone に多くの調整をアップロードしていることが判明しており、その中にはゲームで不正行為をしたり、システムを調整したり、アプリから広告を削除したりできるものも含まれている。
KeyRaiderは、ジェイルブレイクされたスマートフォンでアプリをダウンロードするためのアプリケーションであるCydia内のシステムプロセスに侵入します。iTunesのトラフィックを傍受することで、Appleアカウントのユーザー名、パスワード、デバイスのGUIDを盗み出し、不正にアプリをダウンロードします。また、証明書、秘密鍵、購入レシートも収集します。
別の攻撃スタイルでは、KeyRaiderが少なくとも1件のランサムウェア攻撃に使用されました。このマルウェアは「正しいパスコードやパスワードが入力されたかどうかにかかわらず、あらゆる種類のロック解除操作をローカルで無効化できる」とXiao氏は記しています。
ある人は、携帯電話がロックされ、QQインスタントメッセージサービスで誰かに連絡するようにというメッセージが表示されたと報告した。
盗まれたアカウント情報は、KeyRaiderに感染した携帯電話と通信するコマンド&コントロールサーバー上でWeipTechによって発見されました。このサーバーにはセキュリティ上の脆弱性があり、グループは盗まれたデータを入手できました。しかし、KeyRaiderの作成者は何かが起こっていることを突き止めました。
ワイプテックは、攻撃者が脆弱性を修正する前に盗まれたアカウントの約半分しか回復できなかったとシャオ氏は書いている。
WeipTechは、自分のアカウントが侵害されたアカウントの中に含まれていないか確認するためのサービスとして設立されたと彼は書いている。
