シマンテックは8月31日、同社のセキュリティブログで、ジェイルブレイクしたiOSを標的としたトロイの木馬であるKeyRaiderが無料アプリ詐欺に利用されていることに関する記事を公開した。

KeyRaiderと呼ばれるマルウェアは、22万5000件のAppleアカウントログイン情報の窃取のほか、多くの機密データの窃取に関与したとされている。ただし、このマルウェアは一般的なiOSユーザーには無関係で、ジェイルブレイクされたiOSデバイスを標的にしている。主にジェイルブレイクしたデバイス用のソフトウェアを専門に扱うサードパーティのアプリストアを通じて拡散されている。

盗まれたApple IDは、「無料」アプリの提供時や、他のユーザーに対するアプリ内課金に悪用されており、主に中国のユーザーがこのマルウェアの影響を受けている。

KeyRaiderは、ジェイルブレイクされたデバイスに侵入すると、iTunesトラフィックを傍受して、「アカウントログイン情報」「デバイスのGUID」「Appleのプッシュ通知サービス証明書と秘密鍵」「iTunesの購入領収証」といったユーザーのデータを盗み出し、リモートサーバに送信する。

疑わしいアカウントの活動を調査した結果、KeyRaiderに「iappstore」と「iappinbuy」という2つのジェイルブレイクツールが見つかっている。この2つのジェイルブレイクツールは、有料アプリやゲーム内課金される機能を無料でダウンロードできるソフトウェア・パッケージとして宣伝されていたものだ。

両ツールをインストールしたユーザーがApp Storeで有料アプリをダウンロードすると、KeyRaiderがリモートサーバに接続し、そのユーザーのログイン情報ではなく、盗んだ他者のログイン情報を使って購入処理を行うため、盗まれたログイン情報の所有者がその購入の請求をされることとなる。

侵害されたAppleアカウントに対応するメールアドレスのほとんどは、中国のユーザーのものだと報じられている。他の国のメールアドレスも見つかっているが、それらは、外国に居住する中国人ユーザーのものという可能性があるという。iOSデバイスを所有する中国人の間で、非正規のアプリストアのニーズが高いことが、今回の問題の影響が圧倒的に中国で大きかった理由だと考えられると、同社では分析している。

ジェイルブレイクしていないデバイスを利用していれば、この脅威によるリスクはない。ジェイルブレイクはセキュリティにも深刻な影響を及ぼすうえに、製品の利用規約にも反しているため、シマンテックはジェイルブレイクしないことを勧めている。