JailbreakしたiOSデバイスのApple IDを盗み取るマルウェア「KeyRaider」が確認されています。
「KeyRaider」は、Cydiaの野良リポジトリにあるCydia Tweaksを装って配布され、iOSデバイスに感染すると、Apple IDのメールアドレスやパスワード、GUDIDなどを傍受してサーバーに送信します。
このマルウェアが盗み取ったとされるApple IDは、中国、フランス、ロシア、日本、イギリスなど世界17ヶ国から22万5,941件にも上るとのこと。また、このマルウェアは、Apple IDなどの情報を盗み取るだけでなく、遠隔操作で感染したiOSデバイスをロックさせ、解除するのに身代金を要求する事も可能なようで、実際にその被害も報告されています。
ただ、Cydia Tweaksといっても、有名なものではなく非常に怪しいものなので、Jailbreakユーザーであっても普通に使っていれば問題はありません。
確認されている2種類の「KeyRaider」は、「iappstore」と「iappinbuy」というCydia Tweaksを装っています。どちらも、App Storeからアプリを無料ダウンロードできるという非常に怪しいもので、当然フェイクです。
これらのCydia Tweaksをインストールすると、Apple IDのデータなどが暗号化もされずに「top100.gotoip4[.]com」または「www.wushidou[.]cn」のサーバーに送信されます。
KeyRaiderの感染を調べる方法
- CydiaからOpenSSHをインストール
- SSHクライアントからiOSデバイスに接続
- /Library/MobileSubstrate/DynamicLibraries/ に以下の.dylibファイルがあるか確認
- wushidou
- gotoip4
- bamu
- getHanzi
- あれば削除してデバイスを再起動する
(SSHじゃなくてもファイルマネージャでいけるかも。)
感染が確認されてもApple IDに無事ログインできるようなら、パスワードを変更した上で2ステップ認証を有効にします。
- Source Palo Alto Networks Blog
