JailbreakしたiOSデバイスからApple IDなどを盗むマルウェア「KeyRaider」の手口と対策

Keyraider1

JailbreakしたiOSデバイスのApple IDを盗み取るマルウェア「KeyRaider」が確認されています。

「KeyRaider」は、Cydiaの野良リポジトリにあるCydia Tweaksを装って配布され、iOSデバイスに感染すると、Apple IDのメールアドレスやパスワード、GUDIDなどを傍受してサーバーに送信します。

このマルウェアが盗み取ったとされるApple IDは、中国、フランス、ロシア、日本、イギリスなど世界17ヶ国から22万5,941件にも上るとのこと。また、このマルウェアは、Apple IDなどの情報を盗み取るだけでなく、遠隔操作で感染したiOSデバイスをロックさせ、解除するのに身代金を要求する事も可能なようで、実際にその被害も報告されています。

ただ、Cydia Tweaksといっても、有名なものではなく非常に怪しいものなので、Jailbreakユーザーであっても普通に使っていれば問題はありません。

Keyraider2

確認されている2種類の「KeyRaider」は、「iappstore」と「iappinbuy」というCydia Tweaksを装っています。どちらも、App Storeからアプリを無料ダウンロードできるという非常に怪しいもので、当然フェイクです。

これらのCydia Tweaksをインストールすると、Apple IDのデータなどが暗号化もされずに「top100.gotoip4[.]com」または「www.wushidou[.]cn」のサーバーに送信されます。

KeyRaiderの感染を調べる方法

  1. CydiaからOpenSSHをインストール
  2. SSHクライアントからiOSデバイスに接続
  3. /Library/MobileSubstrate/DynamicLibraries/ に以下の.dylibファイルがあるか確認
    • wushidou
    • gotoip4
    • bamu
    • getHanzi
  4. あれば削除してデバイスを再起動する

(SSHじゃなくてもファイルマネージャでいけるかも。)

感染が確認されてもApple IDに無事ログインできるようなら、パスワードを変更した上で2ステップ認証を有効にします。

関連するエントリー

6,500万曲以上が聴き放題、聞きたい音楽が広告なしで楽しめる、インターネット接続がない場所でもオフライン再生で。まずは30日間無料体験で!

 30日間無料体験 Amazon Music Unlimited