NO IMAGE

脱獄端末でKeyRaiderに感染しているか確認する方法と対処法

Jaibreak端末に感染し、AppleIDやパスワードをごっそり抜いてしまうという恐ろしいウイルス「KeyRaider」が発見されまして、一瞬ものすごく焦りました。

私は感染してませんでしたが、脱獄中のみなさまも確認して見たほうがいいかと思います。

概要はGigazineが翻訳してました。

セキュリティ対策会社Palo Alto Networksが、日本を含む世界中の22万5000を超えるiOS端末がマルウェア「KeyRaider」に感染していると公表しました。KeyRaiderはジェイルブレイクしたiPhoneやiPadにのみ感染するとのことですが、感染することで外部から端末をロックしたり、アプリ購入履歴を盗んだり、ユーザーに無断でアプリを購入したりできると指摘されています。

KeyRaider: iOS Malware Steals Over 225,000 Apple Accounts to Create Free App Utopia - Palo Alto Networks BlogPalo Alto Networks Blog
http://researchcenter.paloaltonetworks.com/2015/08/keyraider-ios-malware-steals-over-225000-apple-accounts-to-create-free-app-utopia/

ユーザーからiOSの脆弱性に関する報告を受けたWeipTechが独自に調査したところ、22万5000のアカウントがAppleサーバーからパスワード情報を盗まれたことが分かりました。なお、パスワードを盗まれたiOS端末は、すべてジェイルブレイクされた端末だったのこと。

過去最大20万台以上の脱獄済みiOS端末がマルウェアに感染、アカウント情報が流出したと判明

ということです。

更に詳しいことはこちらに書いてあります(英語です)。
KeyRaider: iOS Malware Steals Over 225,000 Apple Accounts to Create Free App Utopia

どうやら、AppStoreのアプリを無料でダウンロードして利用出来るTweak(脱獄アプリ)を使用していた人に感染しているようです。

その問題のアプリは以下の2つ。

  • iappstore
  • iappinbuy

これらのアプリを利用している人はすぐに削除して、下記の手順に従って感染の有無を確認して下さい。

また、作成者は mischa07 とほぼ断定されているようで、同氏が管理している
http://apt.so/index.php?r=cydiaTa/index&user_id=8676626
あたりのリポジトリから何かダウンロードしたことがある方も注意した方がいいです。

※ ダウンロードしたことがない方も一応ウイルスの存在確認を行うと安心出来ると思います。
 

  1. iFileやiFunBox、SSHなどで脱獄端末にアクセスします
  2. /Library/MobileSubstrate/DynamicLibraries/へ移動します
  3. 下記の4種類のファイルを検索します
    • wushidou
    • gotoip4
    • bamu
    • getHanzi

これで検索にファイルが引っかかる場合は感染しています。

ファイルは削除しましょう。

 

また、既にAppleIDやパスワードが抜き取られている可能性が高いので、必ずパスワードを変更するようにしてください。

もし可能であれば、2段階認証をオンにすることもおすすめします。

 

 

取り急ぎ公開しておきますが、様子を見つつ情報を追加します。