中国のサードパーティAppStore「Maiyadi」でMacやiOSデバイスを標的としたマルウェア「WireLurker」が拡大中。既に数十万人が感染か？

Mac

中国でMacやiOSデバイスを標的としたマルウェア「Maiyadi」の感染が拡大しているようです。詳細は以下から。

2014.11.06

記事内に広告が含まれています。

　中国でMacやiOSデバイスを標的としたマルウェア「WireLurker」の感染が拡大しているようです。詳細は以下から。

　ニューヨーク・タイムズの記事によると「WireLurkerというマルウェアが中国のサードパーティAppStore”Maiyadi App Store”を通して感染を拡大しており、既に過去6ヶ月で467アプリに感染し、356,104ダウンロードされ数十万人のユーザーが感染した可能性がある」とネットワークセキュリティベンダーのPalo Alto Networksの記事”WireLurker: A New Era in OS X and iOS Malware“を引用し伝えています。

The security company, based in Santa Clara, Calif., said that WireLurker had infected more than 400 applications designed for Apple’s Mac OS X operating system through the Maiyadi App Store, a third-party Mac application store in China. In the last six months, Palo Alto Networks said 467 infected applications were downloaded over 356,104 times and “may have impacted hundreds of thousands of users.”

　さらにこのマルウェアの特筆すべきところは「WireLurkerに感染したMacにiOSデバイスをUSB接続でつなげると、Jailbreakしていなくても自動的に悪意のあるアプリをiOSデバイスにダウンロードしインストールする」ところで、これが”Wire lurker（ケーブルの中に潜む者）”と呼ばれる理由だそうです。

The company said users’ iOS devices could also become infected if they connected their mobile device to their Macs through a USB wire. “WireLurker monitors any iOS device connected via USB with an infected OS X computer and installs downloaded third-party applications or automatically generated malicious applications onto the device, regardless of whether it is jailbroken,” Palo Alto Networks security researchers said. “This is the reason we call it ‘wire lurker.’”

　Palo Alto Networksは「このマルウェアは我々が今まで見た中で最大の規模のものだ」として32ページにも及ぶレポートを配布しており、その中では実際にマルウェアをダウンロードし、MacにUSB接続されたiOSデバイスにマルウェアがどの様にインストールされていくかも記載されています（要アカウント登録）。

おまけ

　さらに詳しく知りたい方はセキュリティ研究者のJonathan Zdziarskiさんのツイートやスライド、GitHubを参考にどうぞ。

Jonathan Zdziarski@JZdziarski

WireLurker: A New Era in iOS and OS X Malware https://t.co/AscNAFdLcJ

2014/11/06 09:46:56

Jonathan Zdziarski@JZdziarski

WireLurker Detector https://t.co/v6R5iBODUr

2014/11/06 09:53:15

Jonathan Zdziarski@JZdziarski

Everything I’ve read so far in the WireLurker white paper seems not only completely plausible, but easy to pull off with libimobiledevice.

2014/11/06 09:48:41

Jonathan Zdziarski@JZdziarski

Some of my past slides/articles that might help explain WireLurker:

http://t.co/7Gxbwaan0N
t.co

http://t.co/imYV27hj1C
t.co

How App Store Apps are Hacked on Non-Jailbroken Phones – Zdziarski
t.co

2014/11/06 10:02:20

Jonathan Zdziarski@JZdziarski

I’ve got a million ideas on how Apple could fix iOS to be impervious to WireLurker type attacks… but Apple’s never asked me for advice.

2014/11/06 10:15:06

Jonathan Zdziarski@JZdziarski

This is the part of WireLurker that waits for new usb connections then attempts to connect to them. http://t.co/uzeG04E1bm

2014/11/06 10:29:22

Jonathan Zdziarski@JZdziarski

Well, all in all WireLurker appears to be in its infancy. It could have been much worse. If Apple does not address, could be weaponized.

2014/11/06 11:28:02

関連リンク：
・Malicious Software Campaign Targets Apple Users in China – NYTimes.com

・WireLurker: A New Era in OS X and iOS Malware – Palo Alto Networks
・WireLurker: A New Era in iOS and OS X Malware – Palo Alto Networks
・AV-TEST、Mac用のウィルス対策アプリ18種類のマルウェア検出率を比較実験したデータを公開

ESET パーソナルセキュリティ 2014 3年版 [CD-ROM]

キヤノンITソリューションズ

Apple7743 より:

2014年11月6日 1:57 PM

iPhone 6発売日に買って行った転売屋の人達がセットアップ時に仕込む事もあるらしいよ

返信
Apple7743 より:

2014年11月6日 4:57 PM

怖…
こういう時純正の強さを感じる

返信
Apple7743 より:

2014年11月6日 5:06 PM

レポートダウンロードして軽く読んだけど、凄くよくまとまってる。
気に止まったところを羅列していくと
Ⅰ.マルウェア付きのコピーアプリでダウンロード数が多いアプリトップ10（Table1）は全てがゲーム。
アプリ名：ダウンロード数
The Sims 3：2,110
International Snooker 2012：22,353
Pro Evolution Soccer 2014：20,800
Bejeweled 3：19,016
Angry Birds：14,009
Spider 3：12,745
NBA 2K13：11,113
GRID：10,820
Battlefield: Bad Company 2：8,065
Two Worlds II Game of the Year Edition：6,451
Ⅱ.このアプリは自己アップデート機能付きで、アップデートがあると
起動するたびに最新のマルウェアにアップデートする、iOSのも同様でC2 Server（comeinbaby.com）を使用。
Ⅲ.マルウェアが埋め込まれてるアプリは
.app/Contents/MacOS/CleanAppにスクリプトが仕組まれている。（Figure.7）
Ⅳ.JailbrekされていないiPhoneにもインストールされるけど、そのためにはプロビジョニングプロファイラ
をインストールすることに同意する必要があがる。
Ⅴ.iPhoneがこのマルウェアに感染するとAddressBook、SMSのデータが吸い取られる
マルウェアの中でもスパイウェアに分類される。
ぐらいかな。
P.22~25を見ればわかると思うけど、一度iOSにマルウェアがインストールされるとMacを必要とせず
スタンドアローンでユーザーデータを送信し続けるかなり良く出来たマルウェアという感じ。
そろそろウイルスバスター for iOSとかが出るべきなのかもね。

返信
Apple7743 より:

2014年11月6日 6:44 PM

サードパーティApp Store

返信
Apple7743 より:

2014年11月6日 6:46 PM

ミスった
サードパーティApp Storeなんか怖くて使えんわ

返信
Apple7743 より:

2014年11月6日 9:00 PM

そもそもバックグラウンドに中国、韓国資本の入ったメーカーのソフトは
公式AppStoreのでも使わないし。

返信
Apple7743 より:

2014年11月7日 11:29 PM

>>6
これ

返信