Buipe

iOSとOS Xは、競合OSに比べてウイルスやマルウェアの被害に遭う数が少ないため、長い間最も安全なオペレーティングシステムの一つとみなされてきました。ジェイルブレイクされていないiOSは、Appleのウォールドガーデンのおかげで依然として非常に安全ですが、ハッカーたちは何百万台ものiOSデバイスに侵入する方法を試みており、ついにその方法を見つけたようです。XcodeGhostと呼ばれる新しいマルウェアが中国で出現しました。これは、OS Xコンパイラを使用してiOSアプリに侵入します。このマルウェアは、Xcodeインストーラにパッケージ化されたMach-Oオブジェクトファイルに悪意のあるコードを保存します。ハッカーたちは、これらのインストーラをBaiduが運営する中国のクラウドサービスにアップロードし、正当な開発者が悪意のあるコードに感染していることに気付かないままダウンロードするようにしました。

巧妙に作られたXcodeGhostマルウェアは、iOSデバイス自体に影響を与えるのではなく、iOSデバイス向けに開発されている正規アプリに直接感染します。作成されたアプリはApp Storeに流入し、その後ユーザーのデバイスに侵入し、ユーザーの個人情報を盗み出し、リモートサーバーにアップロードします。

感染したXcodeインストーラーを使用しているのは中国の開発者だけなので、ハッキングは中国ベースのアプリでのみ確認されていますが、WeChatメッセンジャーやNetEase Cloud Music Appなど約76の人気アプリが影響を受けているため、多数のデバイスがこのマルウェアの標的になったと疑われています。

これらの開発者がXcodeの不正バージョンを入手した主な理由は、Mac App StoreからXcodeツールをダウンロードするのではなく、サードパーティのソースからコピーを入手したためです。Xcodeソフトウェアのサイズが大きいため、開発者はダウンロードを避け、友人や、そのようなソフトウェアをホストしているより高速な非公式ウェブサイトなど、他のソースから入手する傾向があると考えられます。

マルウェアは、感染したアプリがiOSデバイス上で起動、またはiOSシミュレーターで実行されると活動を開始します。活動を開始すると、マルウェアは時刻、アプリ名、バンドルID、現在のデバイス名と種類、システム言語と国、UUI、ネットワークの種類を収集します。収集したデータは、ハッカーが運営するリモートサーバーに転送されます。

XcodeGhostが特に危険なのは、デバイスをジェイルブレイクしなくても感染する点です。このマルウェアは、Appleが承認した正規アプリに潜伏してApp Storeにも侵入しています。このハッキングが世界中のユーザーをターゲットとするアプリや、企業クライアントを持つアプリに広く利用されれば、壊滅的な被害をもたらす可能性があります。

人気脱獄チームPanguが、デバイスがXcodeGhostマルウェアに感染しているかどうかを確認できるツールをリリースしました。このガイドに従って、自分のデバイスが感染しているかどうかを確認できます。

[パロアルトネットワークス]