Buipe

過去に数々のトラブルが発生したにもかかわらず、iOSは依然として世界で最も安全なモバイルOSの一つと考えられています。しかしながら、特に脆弱なジェイルブレイクされたiPhone、iPad、iPod touchを狙う新たなマルウェアが時折出現しています。今回、「AppBuyer」と呼ばれる新たなマルウェアが発見されました。このマルウェアは、ジェイルブレイクされたiOSシステムに悪意のあるファイルをダウンロードし、ユーザーのApple IDのユーザー名とパスワードを盗みます。

興味深いことに、このマルウェアは盗んだ個人情報を使ってApp Storeから有料アプリをダウンロードします。このマルウェアはリモートサーバーに接続し、そこからユーザーのデータを盗むファイルをダウンロードし、それを攻撃者のサーバーに送り返すことが知られています。そして、ユーザーに知られることなく、これらの個人情報を使ってApp Storeでの購入を行います。

AppBuyerという用語を考案したのはPalo Alto Networksで、同社はこのマルウェアが脱獄済みのAppleデバイスに及ぼす影響について詳細な分析結果を発表しました。このマルウェアは、2014年5月にWeiPhone Technical Groupによって初めて発見されました。

AppBuyerマルウェアの被害から身を守る方法

開発者Andy Wiik氏による新しいCydia用調整ツール「AppBuyerProtect」を使えば、iOSユーザーはデバイスに致命的なAppBuyerマルウェアが侵入するのを防ぐことができます。このツールはデバイス上にダミーの/bin/updatesrvファイルを作成し、マルウェアがiPhoneやiPadに侵入しようとした際に、このファイルを生成することを防ぎます。AppBuyerProtectをダウンロードするには、デバイスにhttp://cydia.myrepospace.com/andrewwiik/を追加し、調整ツールを無料でダウンロードしてください。

AppBuyerマルウェアに感染しているかどうかを確認する方法

ジェイルブレイクされた iOS デバイスに次のいずれかのファイルがある場合、AppBuyer マルウェアの影響を受けています。

• /システム/ライブラリ/LaunchDaemons/com.archive.plist
• /bin/updatesrv
• /tmp/updatesrv.log
• /etc/uuid
• /ライブラリ/モバイルサブストレート/ダイナミックライブラリ/aid.dylib
• /usr/bin/gzip （初期の調整ではこのファイルも作成される可能性があります。悪意のあるファイルかどうかを確認するには、「strings /usr/bin/gzip | grep '223\.6\.250\.229′」を実行する必要があるかもしれません。コマンドが「223.6.250.229」を出力した場合、それは

これを確認するもう一つの方法は、CydiaからAppBuyerProtectをインストールすることです。この調整ツールのインストールに失敗した場合は、影響を受けている可能性があります。