米セキュリティ企業のPalo Alto Networksは3月16日(現地時間)、iOSをターゲットにした新手のマルウェア「AceDeceiver」を確認したと伝えた。エンタープライズ向けの証明書を悪用することなく、脱獄(ジェイルブレイク)させていないiOSデバイスにも感染し、Apple ID情報などをユーザーから盗み取る可能性があるという。
パソコンのiTunesを使ってApp StoreからiOSアプリを入手し、iOSデバイスにインストールする際に、iOSデバイスは認証コードを要求して、そのアプリがApp Storeから正規に入手されたものか確認する。このiTunesの振る舞いを疑似的に実行することで、iOSデバイスに非正規のアプリをインストールさせることが可能になる。2013年頃から海賊版アプリの配布に用いられていた手法だが、AceDeceiverはそれをマルウエアの拡散に利用している。いわゆる中間者攻撃(MITM: Man-In-The-Middle)である。
Palo Alto Networksによると、2015年7月から2016年2月までの間に、少なくとも3つのAceDeceiverファミリーのアプリが、App Storeの審査を通過して同ストアで配布されていた。それらはマルウエアと判断されて2016年2月にApp Storeから削除されたが、その後もAceDeceiverの攻撃は続いている。App Storeを通じてアプリを配布しなくても、攻撃者がApp Storeから取得したFairPlayの認証情報を悪用して、悪意のあるアプリをインストールさせているからだ。具体的には、爱思助手 (Aisi Helper)というWindowsクライアントが、その役割を担っている。Aisi Helperは、iOSデバイスのシステムの再インストールや脱獄、バックアップ、デバイス管理といった機能を備えたユーティリティだが、同時にPCに接続したiOSデバイスに不正なアプリをインストールする。悪意のあるiOSアプリはサードパーティのアプリストアにアクセスし、様々な方法でユーザーのApple ID情報を求めてくる。入力してしまうと、その情報はAceDeceiverのC2サーバーに送られる。
ここ数年の間に確認された非脱獄iOSデバイスをターゲットにしたマルウエアは、エンタープライズ向けの証明書を悪用していたが、AceDeceiverはエンタープライズ認証を必要としていない。PCが感染したらバックグラウンドでiOSデバイスに感染を広げるため、ユーザーが気づきにくく、Appleの対応を難しくしている。現時点でAceDeceiverの感染が確認されているのは中国のみだが、こうした攻撃手法が存在していることにPalo Alto Networksは警鐘を鳴らしている。