米Palo Alto Networksは現地時間2015年10月4日、米AppleのiOSを狙った新たなマルウエア「YiSpecter」を検出したと発表した。脱獄デバイスと非脱獄デバイスの両方を攻撃する。

 これまでの調査によると、YiSpecterは10カ月以上前から感染を広げ、主に中国本土と台湾のユーザーを攻撃している。

 YiSpecterのコンポーネントは、エンタープライズ向けの証明書を使って署名されており、プライベートAPIを利用してマルウエア制御(C&C)サーバーから不正な機能を取り込む。

 YiSpecterはiOSデバイスに感染すると、任意のiOSアプリケーションをダウンロードする。既存のアプリケーションと入れ替え、ディスプレイ広告表示を乗っ取ったり、「Safari」ブラウザーの検索エンジンやブックマークを変更したり、開いているページを差し替えたり、端末情報をサーバーに送信したりする。

 攻撃に遭ったユーザーの報告によると、YiSpecterはiPhoneが脱獄済みであろうとなかろうと感染し、手動で削除しても再び出現する。感染端末で通常のアプリケーションを開くとフルスクリーンで広告が表示されることもある。

 エンタープライズ証明書を使って脱獄および非脱獄iOSデバイスを攻撃するマルウエアは過去にもあり、iOS向けプライベートAPIを悪用して不正な働きを実装する手法は研究者の間で知られていたが、2つの方法を組み合わせたマルウエアを実際のユーザー環境で確認したのはこれが初めてだという。

 なお、先ごろ「App Store」の多数のアプリケーションをマルウエアに感染させた「XcodeGhost」(関連記事)とYiSpecterの関連性については、Palo Alto Networksは無関係だと判断している。

 米Wall Street Journalの報道によると、Palo Alto NetworksはYiSpecterの問題についてすでにAppleに報告済み。Palo Alto NetworksのRyan Olsonディレクターは中国モバイル広告サービスの仕業ではないかと見ている。

 また米TechCrunchは、YiSpecterなどの攻撃を受ける脆弱性は「iOS 9」で修正済みとの回答をAppleから得たと報じている。

[発表資料へ]