トレンドマイクロは、インストール先のiOS端末の様々な情報を盗み外部送信するよう設計された、悪意ある不正アプリを確認したと報告しています。
この不正アプリは、諜報活動を目的とした標的型サイバー攻撃について同社が調査していたところ見つかったもので、端末上の様々な情報を窃取する「XAgent」と、正規ゲームの名前を装った「MadCap」の2アプリが確認されています。
XAgentは、iOS 7上にインストールされるとアプリのアイコンを隠蔽し、すぐにバックグラウンドで実行されます。アプリを停止させようとプロセスを中止させても、ほどなく再起動してくるといいます(上画像:XAgentのコード構造)。
具体的な不正活動として、SMSメッセージ・コンタクトリスト・写真・位置情報・インストール済アプリのリスト・プロセスリスト・Wi-Fiステータスを取得し、遠隔のコマンド・コントロール(C&C)サーバにこれらの情報を送信することが可能です。
ただし、iOS 8上にインストールされた場合、アプリアイコンは隠れず、自動的に再起動もしません。そのため、この不正アプリは 2014年9月のiOS 8リリース以前に設計されたものとみられています。
またMadCapについては、XAgentと類似しているものの音声録音が主な不正活動で、JailBreak(脱獄)させた端末のみにインストールが可能となっています。
想定される感染経路は明らかではありませんが、AppleによるiOSアプリ開発者向けの(App Storeを経由しない)配布方法である「Ad Hoc Provisioning」を利用した事例が確認されているといいます。
ユーザーを騙す目的で(メールなどを通じて)「アプリをインストールするためにここをタップして下さい」と書かれたリンクをクリックさせ、無線でアプリをインストールするサービスに誘導するといった手法です。
このほか想定される感染経路として、Windows PCを侵害もしくは感染させた後、USBケーブルで接続されたiPhoneに感染させる方法なども考えられています。
このように比較的セキュリティが固いApp Storeを経由せず、メールなどに仕込んだリンクを踏ませてiPhoneにインストールさせる手法をとるiOSを狙った脅威は、過去に「Masque Attack」などもありました。
ユーザーは、App Store以外のソースからアプリをインストールしたり、不審なリンクをタップしないことが身を守る上で重要でしょう。