中国のサードパーティAppStore「Maiyadi」でMacやiOSデバイスを標的としたマルウェア「WireLurker」が拡大中。既に数十万人が感染か?

スポンサーリンク

 中国でMacやiOSデバイスを標的としたマルウェア「WireLurker」の感染が拡大しているようです。詳細は以下から。


Maiyadi-App-Store


 ニューヨーク・タイムズの記事によると「WireLurkerというマルウェアが中国のサードパーティAppStore”Maiyadi App Store”を通して感染を拡大しており、既に過去6ヶ月で467アプリに感染し、356,104ダウンロードされ数十万人のユーザーが感染した可能性がある」とネットワークセキュリティベンダーのPalo Alto Networksの記事”WireLurker: A New Era in OS X and iOS Malware“を引用し伝えています。

The security company, based in Santa Clara, Calif., said that WireLurker had infected more than 400 applications designed for Apple’s Mac OS X operating system through the Maiyadi App Store, a third-party Mac application store in China. In the last six months, Palo Alto Networks said 467 infected applications were downloaded over 356,104 times and “may have impacted hundreds of thousands of users.”

 さらにこのマルウェアの特筆すべきところは「WireLurkerに感染したMacにiOSデバイスをUSB接続でつなげると、Jailbreakしていなくても自動的に悪意のあるアプリをiOSデバイスにダウンロードしインストールする」ところで、これが”Wire lurker(ケーブルの中に潜む者)”と呼ばれる理由だそうです。


WireLurker-to-iPhone-from-Mac

The company said users’ iOS devices could also become infected if they connected their mobile device to their Macs through a USB wire. “WireLurker monitors any iOS device connected via USB with an infected OS X computer and installs downloaded third-party applications or automatically generated malicious applications onto the device, regardless of whether it is jailbroken,” Palo Alto Networks security researchers said. “This is the reason we call it ‘wire lurker.’”

 Palo Alto Networksは「このマルウェアは我々が今まで見た中で最大の規模のものだ」として32ページにも及ぶレポートを配布しており、その中では実際にマルウェアをダウンロードし、MacにUSB接続されたiOSデバイスにマルウェアがどの様にインストールされていくかも記載されています(要アカウント登録)。


unit42-wirelurker

おまけ

 さらに詳しく知りたい方はセキュリティ研究者のJonathan Zdziarskiさんのツイートやスライド、GitHubを参考にどうぞ。


関連リンク:
Malicious Software Campaign Targets Apple Users in China – NYTimes.com

WireLurker: A New Era in OS X and iOS Malware – Palo Alto Networks
WireLurker: A New Era in iOS and OS X Malware – Palo Alto Networks
AV-TEST、Mac用のウィルス対策アプリ18種類のマルウェア検出率を比較実験したデータを公開b.hatena

ESET パーソナル セキュリティ 2014 3年版
キヤノンITソリューションズ


コメント

  1. Apple7743 より:

    iPhone 6発売日に買って行った転売屋の人達がセットアップ時に仕込む事もあるらしいよ

  2. Apple7743 より:

    怖…
    こういう時純正の強さを感じる

  3. Apple7743 より:

    レポートダウンロードして軽く読んだけど、凄くよくまとまってる。
    気に止まったところを羅列していくと
    Ⅰ.マルウェア付きのコピーアプリでダウンロード数が多いアプリトップ10(Table1)は全てがゲーム。
    アプリ名:ダウンロード数
    The Sims 3:2,110
    International Snooker 2012:22,353
    Pro Evolution Soccer 2014:20,800
    Bejeweled 3:19,016
    Angry Birds:14,009
    Spider 3:12,745
    NBA 2K13:11,113
    GRID:10,820
    Battlefield: Bad Company 2:8,065
    Two Worlds II Game of the Year Edition:6,451
    Ⅱ.このアプリは自己アップデート機能付きで、アップデートがあると
    起動するたびに最新のマルウェアにアップデートする、iOSのも同様でC2 Server(comeinbaby.com)を使用。
    Ⅲ.マルウェアが埋め込まれてるアプリは
    .app/Contents/MacOS/CleanAppにスクリプトが仕組まれている。(Figure.7)
    Ⅳ.JailbrekされていないiPhoneにもインストールされるけど、そのためにはプロビジョニング プロファイラ
    をインストールすることに同意する必要があがる。
    Ⅴ.iPhoneがこのマルウェアに感染するとAddressBook、SMSのデータが吸い取られる
    マルウェアの中でもスパイウェアに分類される。
    ぐらいかな。
    P.22~25を見ればわかると思うけど、一度iOSにマルウェアがインストールされるとMacを必要とせず
    スタンドアローンでユーザーデータを送信し続けるかなり良く出来たマルウェアという感じ。
    そろそろウイルスバスター for iOSとかが出るべきなのかもね。

  4. Apple7743 より:

    サードパーティApp Store

  5. Apple7743 より:

    ミスった
    サードパーティApp Storeなんか怖くて使えんわ

  6. Apple7743 より:

    そもそもバックグラウンドに中国、韓国資本の入ったメーカーのソフトは
    公式AppStoreのでも使わないし。

  7. Apple7743 より:

    >>6
    これ