パロアルトネットワークスは10月4日(米国時間)、新しいApple 新しいiOSを搭載する端末を狙う新たなマルウェアを発見し、「YiSpecter(イースペクター)」と名付けたとセキュリティブログで発表した。

YiSpecterは、iOSシステム内でプライベートAPIを不正使用し、端末に攻撃するタイプのマルウェア。エンタープライズ証明書を悪用することで、端末がジェイルブレイクされているかを問わず攻撃できる。

主に中国本土と台湾での感染が確認されている。主な侵入経路は、ISPからのトラフィックのハイジャック、Windows上のSNSワーム、オフラインアプリのインストールやコミュニティでの拡散など独特だという。

YiSpecterが初めて確認されてから10カ月以上たった今でも、セキュリティ対策が遅れていると指摘している。ブログの執筆時点(10月4日ごろ)では、無料検査サービス「VirusTotal」に採用されているセキュリティ・ベンダー57社のうち、マルウェアを検出できたのは1社だけであったという。

YiSpecterの実体は、エンタープライズ証明書で署名された4つのコンポーネント。プライベートAPIを悪用し、コマンドアンドコントロール(C2)サーバからこれらコンポーネントを互いにダウンロードおよびインストールする。悪質なコンポーネントのうち3つは、ユーザーにより発見されて削除されることを防ぐため、iOSのSpringBoardからアイコンを非表示にするよう細工している。コンポーネントはiOSの上級ユーザーを偽るために、システムアプリと同じ名前とロゴを使用している。

YiSpecterはiOS端末に感染することで、端末内で以下のことが実行できる。

  • 任意のiOSアプリをダウンロード、インストール、起動
  • ダウンロードしたアプリへの既存アプリを置き換え
  • 広告表示のため他のアプリ実行をハイジャック
  • Safariのデフォルトの検索エンジン、ブックマーク、開いたページの変更
  • C2サーバーへの端末情報のアップロード
  • ユーザーが通常のアプリを開くとフルスクリーン広告を表示

ユーザーは、サードパーティのツールを使用することで、感染した端末上で追加された不審な「システムアプリ」を見つけることが可能だが、一度YiSpecterをインストールしてしまうと、手動でマルウェアを削除しようとしても自動的に復活してしまう。