iOS 用トロイの木馬「AceDeceiver」が中国で発見、Apple の DRM メカニズムをバイパス

エンタープライズ証明書を悪用せずに、ジェイルブレイクされていない iOS デバイスに PC 経由で感染できる、新しい iOS トロイの木馬が野生で発見されました。 「AceDeceiver」と名付けられたこのマルウェアは パロアルトネットワークス によって発見され、現在中国のiOSユーザーに影響を与えている。

AceDeceiver は、Apple のデジタル著作権管理 (DRM) システムである FairPlay の欠陥を利用して iOS デバイスに感染します。パロアルトネットワークスによると、「FairPlay中間者」と呼ばれる手法が使われており、これは過去に偽のiTunesソフトウェアと偽装された認証コードを使用してiOSデバイスにアプリを入手することにより、海賊版iOSアプリを拡散するために使用されてきたという。 。同じ手法が現在、AceDeceiver マルウェアの拡散にも使用されています。

Apple では、ユーザーがコンピュータで実行されている iTunes クライアントを介して App Store から iOS アプリを購入およびダウンロードできるようにしています。その後、コンピューターを使用してアプリを iOS デバイスにインストールできます。 iOS デバイスは、アプリが実際に購入されたことを証明するために、インストールされているアプリごとに認証コードを要求します。 FairPlay MITM 攻撃では、攻撃者は App Store からアプリを購入し、認証コードを傍受して保存します。

次に彼らは、iTunes クライアントの動作をシミュレートする PC ソフトウェアを開発し、iOS デバイスをだましてアプリが被害者によって購入されたものであると信じ込ませました。したがって、ユーザーは実際には料金を支払っていないアプリをインストールすることができ、ソフトウェアの作成者はユーザーの知らないうちに潜在的に悪意のあるアプリをインストールする可能性があります。

2015 年 7 月から 2016 年 2 月にかけて、3 つの AceDeceiver iOS アプリが公式 iOS App Store にアップロードされ、壁紙アプリを装い、AceDeceiver 攻撃に使用する偽の認証コードを攻撃者に提供しました。

システムのバックアップやクリーニングなどのサービスを提供すると称する「Aisi Helper」と呼ばれる Windows iPhone 管理アプリが中国のユーザーによってインストールされ、接続されたデバイスに悪意のある iOS アプリがインストールされ続けました。これらのアプリは、ユーザーを誘導して Apple ID とパスワードを送信させるための無料コンテンツを備えたサードパーティの App Store になるように設計されていました。その後、Apple ID 情報が AceDeceiver サーバーにアップロードされました。

Apple は 2 月にオリジナルの AceDeceiver iOS アプリ (ハッカーが認証コードを入手するために使用したアプリ) を App Store から削除しましたが、攻撃者は依然として iOS デバイスに偽のアプリをインストールするために必要な認証コードを持っているため、攻撃は依然として活発です。 AceDeceiver は中国のユーザーにのみ影響しますが、パロアルトネットワークスは、AceDeceiver トロイの木馬または同様のマルウェアが将来的に他の地域にも拡散する可能性があると考えています。 AceDeceiver は、パッチが適用されておらず (パッチが適用されていても古いバージョンの iOS で動作する可能性がある)、感染したコンピュータからアプリを自動的にインストールし、エンタープライズ証明書を必要としないため、特に狡猾です。

Palo Alto Networks は、AceDeceiver の概要、その歴史、およびその仕組みについて Palo Alto Networks の Web サイトに掲載しています 。このマルウェアについてさらに詳しく知りたい人にとっては、読む価値があります。