【注意】脱獄iPhoneを狙った新マルウェア「AppBuyer」が発見される

皆さんこんにちは(*゚艸゚*) 少し前にAppleIDとパスワードを盗んでしまうマルウェア「Unflod.dylib」が発見されて、一時期騒ぎまくりましたが、今回も似たようなマルウェアが発見されたようです。

今回発見されたのが通称「AppBuyer」と言われるマルウェアで、前回同様、AppleIDとパスワードを盗んでしまうそうです(;´・ω・)

今回は新しく発見されたマルウェアについてダラダラと書いていきたいと思います(;´・ω・)

AppBuyerは何ぞや?

「AppBuyer」は脱獄されたiPhoneやiPad・iPod Touchを標的にしたマルウェアが発見されたことをセキュリティ調査会社の「Palo Alto Networks」が今週末に発表しました。

このマルウェアはAppleIDとパスワードを盗んで、App Storeでのアプリ購入してしまうものです。

AppBuyerはトロイの木馬であり、3つの動作をしてアプリを不正に購入するそうです(゚д゚)!

  1. UUIDを作成するためのEXEファイルをダウンロードする
  2. AppleIDとパスワードを盗むためのCydia Substrate Tweakをダウンロードしインストールする
  3. アプリを購入するためのユーテリティをダウンロードしアプリを購入する

という流れで動いているらしいです(私の感で翻訳したのが正しければ。。。)勝手にアプリをランダムで購入するみたいなので、感染しているデバイスでは勝手にインストールされるのかな・・・?

AppBuyerの正確な感染ルートはわかっていない!?

明確にはわかっておりませんが、悪意がある脱獄ユーテリティや海賊版リポジトリからダウンロードしたTweaksをインストールすることによって感染してしまうのではないかということです。

AppBuyerからiPhoneを守るには・・・?

感染ルートが多分、海賊版リポジトリなどからなので海賊版リポジトリを使わないとか、怪しいユーテリティを使わないという基本的なことだと思います。

感染したかをどうかを確認するには、iFileなどのiPhoneのシステムファイルが見れるファイルマネージャで以下のファイルが有るかを確認してみてください

  • /System/Library/LaunchDaemons/com.archive.plist
  • /bin/updatesrv
  • /tmp/updatesrv.log
  • /etc/uuid
  • /Library/MobileSubstrate/DynamicLibraries/aid.dylib
  • /usr/bin/gzip

これらのファイルが有った場合は感染している可能性が高いです(*゚ロ゚*)ハッ!!

まとめ

今回のAppBuyerは「Unflod.dylib」とほとんど似ていることから、おんなじ手法を使っているのかな・・・? 今回も中国からの報告が多いですが、「Unflod.dylib」ほどではないそうです(*゚艸゚*)

海賊版リポジトリなどを使っているなどの危険なことをしない限りはそこまで心配することもないようです(*゚艸゚*)

しかし、AppleIDとパスワードが盗まれるのは気味が悪いことですね(;´・ω・) 今回もグダグダとうぃんつ(@hack_info)がお届けしました(*゚艸゚*)

参考:iDownloadBlog

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください