【注意】AppleID&パスワードを盗むウイルス「AppBuyer」に感染しているか確認する方法

(37)

以前、【Apple ID】と【パスワード】を盗み取るウイルス【Unflod.dylib】と言う物がありましたが、今回新たに【AppBuyer】と呼ばれるウイルス(マルウェア)について報告されています。

目的は【Unflod.dylib】とほぼ同じで、【Apple ID】と【パスワード】を盗み取る物です。

ということで、感染していないか?の確認方法や感染経路も含め、ご紹介。ただ、脱獄しているからと言ってそれほど極端に怖がる必要はありません。

スポンサーリンク

AppBuyerとは

今回報告された【AppBuyer】は、感染すると【Apple ID】と【パスワード】が盗み取られる危険があります。

目的が同じと言うこともあり、【Unflod.dylib】と似たような手法が使われているみたいです。

ちなみに、通信を行っているURL先を見てみると、所在地は【上海】で登録されている様で、同じく中国へアクセスしている可能性があるようです。

感染の確認方法

まずは「自分は感染していないか?」を確認する方法をご紹介。
以下のファイルがデバイス内に配置されていないかを【iFile】等を使って確認してください。これらのファイルがある場合は、感染中となります。

  • /bin/updatesrv
  • /etc/uuid
  • /Library/MobileSubstrate/DynamicLibraries/aid.dylib
  • /System/Library/LaunchDaemons/com.archive.plist
  • /tmp/updatesrv.log
  • /usr/bin/gzip

ファイル名を偽装

確認するファイル名を見ていただくと「ん?」と思う方も居るかもしれませんが、見つかりにくいようにファイル名が偽装されています。
あたかも「正常なファイルである」or「必要なシステムファイルである」の様に、ウイルスとはバレにくいファイル名が付けられている点も特徴ですね。

感染経路について

きちんと判明している訳ではありませんが、Cydia作者Saurik氏などによると「中国での報告が多く、最初の報告も中国コミュニティから。Unflod.dylibと同じように、海賊版が大きく関係しているだろう。」とのこと。
脱獄アプリの海賊版だけではなく、通常アプリ(IPA)の海賊版をインストールした場合にも報告があり、こちらの可能性も大きいようです。

また、以前ご紹介したような勝手に改造された脱獄ツール等に混入されている可能性も考えられ、脱獄ツールは必ずオリジナル版を使う様にしてください。

脱獄していない場合も注意が必要…

「脱獄しなければ安全だ」と考えている方も居る様ですが、これは間違いである!と、指摘されています。

現在AppStore以外からアプリをインストールする手段が存在し、ここにはAppleの審査がないため、通常禁止されている動作が備わっていたり、脱獄を行う時の様なバグの悪用による危険など、想像出来ない危険が潜んでいます。
そのため、「脱獄してないから安全。だから何をやっても安全。」と思ってしまっている人は、少し注意をした方がイイかもしれません。

感染範囲でいうと中国がメインで、【Unflod.dylib】よりも報告数は少ないみたいです。 最初に発見されたのが5月中旬ですので、そのことを考えても感染範囲は思ったより小規模なのかなと。

また、脱獄をしていても通常使用であれば感染するような経路ではないので、そこまで極端な心配はいらないと思います。
ただし、注意だけは忘れないようにしましょう!

こういった事で「脱獄 = 危険」とシンプルな認識になるのは…と悲しくなる、今日この頃です。

コメント

  1. こんにちは。
    情報ありがとうございます❗️

  2. こちらから失礼します。
    この度、iPhone5Sの7.1.2をpanguを使い脱獄しました。
    しかし脱獄作業中に何度かプログラムが停止しpanguが強制終了してしまいました。
    最終的に脱獄できましたが、脱獄作業中や終了後も再起動が繰り返され、なんとか起動しCydiaもインストールされていました。
    しかしCydiaを起動すると、準備中という画面でしばらく待たされたあとまた再起動しました。
    もう一度Cydiaを起動するとちゃんと起動しました。

    脱獄作業中にpanguが強制終了したことや、iPhoneの再起動が何度も行われたことが気がかりなのですが、このせいで脱獄状態が不安定になっている可能はあるのでしょうか?

    • iPhone自体が再起動したり、Cydiaの初回時に一度終了するのは正常です。
      なので、それ以外に特に問題がないようであれば大丈夫かと思います。
      ただ、何かしらの問題や不具合が出ている場合は、再度最初から行った方がイイかもしれません

  3. いつもありがたい情報ありがとうございます!!

  4. 非脱獄でも感染はありえますが、予防として変なアプリは入れないことがいちばんですな

  5. 記事とは関係無いですか、iPhone5、7.1.2をpauguで脱獄して、モバイルターミナルでパスワードを変更しようとしたら何も入力出来ないのですが、どうしたら良いでしょうか?

  6. 名無しさんへ
    正常ですよ脱獄すれば再起動とかが増えます

    何も知らないで脱獄すると端末が文鎮になることもあるのでしっかり調べてからやったほうがいいですね

  7. Endさんへ
    パスワードのところはなにも表示されてない様に見えますがちゃんと入力されています。

  8. passwdと入力するときから見えないのです。
    きちんと入力しても入力して無いとこになっています(T ^ T)

    • 英語キーボードを使用して入力してみてください。

  9. じゃ、ググったらいいですよ。脱獄は自己責任、わからなかったらググればいい。

  10. 情報ありがとうございます!
    確認してもし感染してた場合はそのファイルを削除でいいのでしょうか?

    • 実は全ての動作が解明出来ているわけではないので、出来ればiOSの復元を行っていただくのが安全とされています

  11. 無かったですね。
    やはり海賊版に手を出すやからが引っかかるんでしょうな

  12. トピックスと無関係な質問ですが、標準ではカメラロールの背景が白色ですが、黒色にできる脱獄

    アプリがあると聞いたことがあります。いろいろな方向から検索していますがヒットしません。

    誰かご存じの方で教えて下さい。

  13. 今回もゼロでした

    こういうのは割れ厨が発症するんだろ?
    だったらそいつらの自己責任なんだからこういうのは教えなくてもいいと思うけどな
    どんどん抜き取られればいい

  14. ttp://www.pgyer,com/bchD
    ↑この非公式の画面録画アプリが最近リリースされて周りで流行ってるのですが…
    このアプリはAppBuyerと関係ありますか?
    ちょっと怪しいので心配で…

  15. とらいゔさん、ありがとうございます
    一応以前にiOS6で1年半以上脱獄していた経験があったので、ある程度は自力で解決してきたのですが、iOS7での脱獄は初めてなので正常な挙動がまだ分からず質問しました。

    先ほどもCydiaで脱獄アプリを導入しリスプリしたところ、歯車マーク→リンゴマーク→歯車マーク→ロック画面という流れになりました。
    iOS6の頃は歯車マーク→ロック画面だったのですが、iOS7ではリンゴマークが間に入るのは正常なのでしょうか?

  16. Ios7.12さんのお探しのTweakはおそらく、DarkPhotos かと思います^_^ 私も導入してますが、直接アプリからカメラロールへアクセスする分には背景が黒になりますがトグルなどのアドオンからカメラロールへアクセスすると標準のままと言う不具合がありますが(^^;;

    • Kryp2niteさん返信ありがとうございました。

      インストールしました。カメラロールが引き締まった感じで私は好きです。

  17. 基本的にこういったウイルスは海賊版に手を出した使用者の自業自得、って感じがする

  18. 名無しさんへ。

    いたって正常です。

    問題ないですよ〜

  19. Endさん
    MobileTerminalは日本語キーボードでの入力は受け付けなかったはずです
    PCで使うようなキーボードに切り替えてみるとうまくいくと思います

  20. 確かに安心しきるのは駄目ですが
    脱獄時より入獄時の方が圧倒的に安全だと思いますよ
    脱獄すると危険は何倍にも膨れ上がりますから

  21. AppStoreで公開されてるアプリでもAppleID抜くやつとかあるよ
    一応審査はあるけど、うまく隠せばマルウェアも仕込めるらしいし

  22. 匿名さん、管理人さんありがとうございました。
    特に不具合などもないので、このまま使ってみることにします。

  23. よかった 感染してない

  24. LINEのトーク履歴を自分のメールアドレスに送信したらメッセージアプリが開かなくなってしまいました。
    ネットで調べた解決法はほとんどやりましたが、直りませんでした。
    脱獄してあるので、出来れば復元はしたくありません。
    復元せずに直すことはできますか。
    iFileをインストールしてあるので、それで対処出来ないでしょうか。
    5s iOS7.1.2 64GB
    です。

    本文と関係なくてすみません。

  25. 有り難うございますiPhoneが感染していました。ふだんはあまり起動しない物ですが、
    万が一が有りますから助かりました。

  26. /usr/bin/gzip
    このファイルだけ確認できましたが、感染しているのでしょうか?
    海賊版等には手を出していません。

    • 海賊版じゃなくても感染するみたいだし可能性はあるんじゃない?

      海賊版をダウンロードするのも自己責任ですが、そもそも脱獄する事自体グレーな世界なので、海賊版に手を出してなくても脱獄している時点で自己責任
      海賊版に手を出そうが出さまいが、感染してたら文句は言えないね

      ちなみに僕は大丈夫でした

    • 本来gzipはその場所へファイルは配置されませんので、感染の疑いがあるかもしれません。

  27. ttp://s.ameblo.jp/jb-iphone-etc/entry-11926438578.html
    ここで配布されているこのマルウェアの感染を防ぐものは安全なのでしょうか?
    感染はしていなかったのですが非常に心配で、安全なら使いたいと思っているのですが…

    長文失礼いたしました。

    • 基本的に、ウイルス対策系の物はオススメしません。
      仕組み自体が先にファイルを置いておき…といった物が多いのですが、これはやろうと思えば回避する事が可能ですし、これにより感染確認が非常に面倒になります。

  28. なるほど…
    ご教授感謝です!

  29. 感染を確認してます

  30. ひぃぃやぁっほぅぅぅ!!!!!はぁぁぁ!!ひぃーーー!!
    セイセイセイ!!!!

タイトルとURLをコピーしました