トレンドマイクロは9月26日、公式ブログにおいて、iOS上で大量のアイコンを作成する不正プロファイル「YJSNPI ウイルス」こと「iXintpwn」について解説した。
「iXintpwn」は、2017年6月にランサムウェア作成の容疑で逮捕された日本の未成年者が作成・拡散したとされるもので、その実体はアプリではなく、不正な構成プロファイルである。
iXintpwnは構成プロファイルの仕組みを悪用し、iOS端末のホーム画面に大量のアイコンを作成すると同時に、アイコンの削除を不可に設定する。場合によっては端末が応答不能の状態になることもあるという。
iXintpwn をダウンロードさせようとする投稿は、2016年11月末にTwitter で初めて確認され、YouTubeやその他のソーシャルメディアでも拡散された。投稿では、iXintpwnは、iOS端末の制限を解除する「Jailbreak(脱獄)アプリ」と説明されている。
iXintpwnは、特にSafari経由でソーシャルメディアなどに投稿されたURL にアクセスさせることによって拡散し、このURLは不正な構成プロファイルをホストするWebサイトとなっている。
iXintpwn をインストールすると、YJSNPI画像のアイコンがホーム画面に大量に作成される。感染端末のホーム画面を埋める大量のアイコン画像は、日本のオンライン掲示板などで「YJSNPI」として知られる人物のようだという。
このアイコンをクリックすると、同じ画像を表示するだけのWebサイトが開く。大量のアイコンが作成されている間、場合によっては端末が応答不能な状態になり、アプリの表示および起動の制御とホーム画面の管理を行うアプリケーション「SpringBoard」が異常終了する。
同社によると、感染したユーザーは、Mac PCでApple公式のiOS構成管理アプリケーション「Apple Configurator 2」を起動し、「アクション(Actions)」メニューから不正なプロファイルを削除することが可能とのこと。
ただ、この方法で削除するには、iXintpwnが完全にインストールされている必要がある。途中で電源を落とすなどしてインストールが不完全となった場合、対象のプロファイルがApple Configurator 2に認識されず、アイコン画像の削除もできないという。
また、Apple Configurator 2 にWindows版はないほか、Mac PCを所持していないなど、Apple Configurator 2を利用できない場合、復旧のためにはiOS端末をリストアすることになる。