[iOS 脱獄] 話題のウイルス「AdThief」に感染していないか確認する方法

(35) 2014/08/20 21:44

本日「AdThief」もしくは「SpAd」という脱獄環境で感染するウイルス（マルウェア）についてちょっと話題になっています。
今回の物に関して言えば、過度に恐れる物ではないですし、感染率も低くそれほど慌てる必要はありません。
ただ、気持ちのいい話ではないので、自分が感染していないかどうか確認する方法をご紹介。

AdThief、SpAdって？

実はこの話題、元々は今年の3月に出てきた話なのですが、大手メディアが今日取り上げたことで話題に。

さて、話題のウイルス（マルウェア）はどんな事をするのか？と言いますと、アプリなどで表示される広告を「アプリ開発者のID」から「ウイルス作成者のID」に書き換えてしまう物です。
これにより、アプリ開発者が受け取るハズだった報酬は、ウイルス作成者に横取りされてしまう…といった状況になります。

感染の確認

ユーザー側に大きな損害が出るわけではないのですが、気分の良い物ではありません。ということで、感染していないかどうかを確認しましょう。

今回の大元はCydia Substrateアドオンですので、iFileなどを使用して「下記ファイルがデバイス内に存在しないか？」を確認してください。
もし、どちらかのファイルがある場合は感染しているという事です。速やかに削除し、デバイスを再起動しましょう。（出来れば復元の方が安心）

/Library/MobileSubstrate/DynamicLibraries/

spad.dylib

spad.plist

libgad.dylib

ios-virus-malware-adthief-spad-20140820-02

他の場所

また、感染した、もしくは過去に感染していた場合、下記ファイルがダウンロードされている場合があります。こちらについても確認してください。

/usr/lib/libgad.dylib
/var/sad/sad
/usr/bin/sad

ios-virus-malware-adthief-spad-20140820-03

実は…

感染台数が『7万5000台以上』と書かれるとすごく多く感じますし、一部ブログやニュースサイトには「ほとんどのデバイスが感染している」かのように誇張して書かれています。

でも、全iOSデバイスの「約10%が脱獄済み」なんて言われている通り、iOS 6.x脱獄の【evasi0n】はリリース10分で10万ダウンロード、4日間で700万台が脱獄。iOS 7.1.x脱獄の【Pangu】は18日間で885万人がダウンロード。
また、Cydiaを使用している脱獄デバイスは数千万台という単位です。
その数から見ると、今回の物はそこまで感染率が高いわけではありません。

ちなみに、以前ハッキング被害にあった中規模な海賊版リポジトリの”フォーラム利用者”数が10万件超えです。それと比べても少ないですね。

感染経路は？

色々と言われていますが、実はまだハッキリとした経路は分かっていない様です。
ただ、感染台数や中国での感染報告が多いという点から、前に話題になったウイルス【Unflod.dylib】と同様に海賊版経由が一般的な経路ではないかと予想されています。
もちろん、他にも色々と注意すべき経路はありますが、やはり可能性としてはここら辺があり得るかなと。

ちなみに、3月の時点でSaurik氏からは「Cydiaデフォルトのリポジトリから感染は無い」と報告されています。

〆

反応を見ていると、脱獄している方は「まぁ脱獄なんてそんなもんです。で、どう確認したら良いのかな？」と冷静な反応が多い様子ですが、脱獄していない方は「怖い！危ない！危険だ！！」と大慌てだったりするのがちょっと面白いなぁと思ったり。

脱獄している以上こういった問題は付きものですが、冷静に「どう対策して、何を確認して、どう対処して…」と考えていけば、さほど怖いこともありませんね！

名前:匿名 : 投稿日：2014/08/20(水) 22:10:25 返信

毎日、閲覧してます。
いい記事いつもありがとうございます

これからもがんばってください
名前:A : 投稿日：2014/08/20(水) 22:16:42 返信

ニュースでやけに大きく取り上げられてたので、ちょっと心配になってました。
確認したところ、感染していませんでした。
いつも分かりやすい記事ありがとうございます。
名前:kaki : 投稿日：2014/08/20(水) 22:18:00 返信

Library/MobileSubstrate/DynamicLibraries/で確認して見たところ、今年の3月にspid.dylib、spid.plistをインストールしているようでした。管理人さんはspadですが、私のはspidでした。微妙に違いますが、これは消しても良いものなのでしょうか…？
- 名前:SANTA@管理人 : 投稿日：2014/08/20(水) 23:15:12 返信
  
  これまでそういった名前の物を見かけた記憶がないので大丈夫だとは思うのですが、一応インストールしていますCydia Substrate系脱獄アプリをお教えいただければ確認させていただきます
名前:isuka : 投稿日：2014/08/20(水) 22:38:40 返信

いつもお世話になってます^_^
管理人さんの言うことを聞くと安心できます
これからも更新頑張ってくださいm(_ _)m
名前:Ryu : 投稿日：2014/08/20(水) 22:46:16 返信

某アプリで記事を拝見したけど感染力が低いと思ってたのは僕だけじゃなかったんですね♪
詳しい記事をありがとうございます。
一応自分も確認を取りましたが大丈夫でした♪
やっぱり割れとかよくありませんよね(･･;)
名前:ななな : 投稿日：2014/08/20(水) 22:46:41 返信

記事とは関係ないのですが、
Activatorでボリュームボタン下を長押しを割り当てていたのですが、先日その割り当てを消すとなぜか音を下げることができなくなりました。しかし、前と同じように割り当てると音を下げることが出来ます。どうすれば治るでしょうか？因みにその割り当てたアプリを削除しても改善しませんでした。
- 名前:SANTA@管理人 : 投稿日：2014/08/20(水) 23:14:15 返信
  
  詳細が分からないため状況が詳しく把握出来ていないのですが、いったんActivatorの設定をリセット、もしくは設定ファイルを削除してみた場合も代わらずでしたでしょうか？
名前:匿名 : 投稿日：2014/08/20(水) 22:47:40 返信

とても参考になりました！
私のデバイスは大丈夫でした
名前:匿名 : 投稿日：2014/08/20(水) 23:52:31 返信

ウイルス関連の記事は本当に助かります！
未だ感染した事は無いですが一応心配なので……
名前:lex : 投稿日：2014/08/21(木) 00:17:39 返信

壁紙がずっと前にあった海外のバックトゥーｻﾞフューチャー？に出てる人なのかな
その人に勝手に変わるんですがこれは
何をしたら治りますかね。ｗｗｗｗｗ
- 名前:SANTA@管理人 : 投稿日：2014/08/21(木) 22:43:38 返信
  
  正規に購入されていない、と認識されている脱獄アプリがインストールされていませんでしょうか
名前:匿名 : 投稿日：2014/08/21(木) 01:45:18 返信

>Lex
pirate。購入しましょう。
名前:匿名 : 投稿日：2014/08/21(木) 01:54:50 返信

いつもいい記事ありがとうございます更新が早くてとても助かりました
名前:ぽよぽよ : 投稿日：2014/08/21(木) 07:41:26 返信

Libraryから入って→MobileSubstrateが見当たりません;
- 名前:わたしも : 投稿日：2014/08/21(木) 15:50:33 返信
  
  わたしも同じく見当たりません
- 名前:SANTA@管理人 : 投稿日：2014/08/21(木) 22:42:41 返信
  
  /var/mobile/Library/内を探してしまっていませんでしょうか？
  そこではなく、「/Library/」内ですので、ご注意ください。
  
  iFileの場合は、ホームから二つほど前の階層に戻る作業が必要です。
  - 名前:わたしも : 投稿日：2014/08/23(土) 20:07:33 返信
    
    ifileから
    /Library/を見ているのですがMobileSubstrateがありません
    - 名前:SANTA@管理人 : 投稿日：2014/08/24(日) 01:06:30 返信
      
      「Cydia Substrateがインストールされている＆動作しているのにも関わらずディレクトリが無い」という環境は通常ありませんので、探す場所やインストール状況を確認してみてください
名前:Mala : 投稿日：2014/08/21(木) 07:59:24 返信

色んな所で今回のウイルス記事を目にしたけど、ここでの説明か一番分かり易かったです。
名前:S0ulja : 投稿日：2014/08/21(木) 08:06:58 返信

私今回は感染してなくて良かったです
名前:匿名 : 投稿日：2014/08/21(木) 10:37:06 返信

大☆発☆見
名前:774 : 投稿日：2014/08/21(木) 12:19:35 返信

むしろ、このウイルス記事で慌てて「危険！大変」って騒ぐくらいの人はおとなしく入獄してたほうがいいのかもしれない…
名前:ウイルス大量w : 投稿日：2014/08/21(木) 12:48:05 返信

ウイルスがたくさんありました。笑
名前:匿名 : 投稿日：2014/08/21(木) 13:05:14 返信

このウイルスって、ウイルスバスターのiOS版をインストールしたら、見つかるもんなんですかねぇ？

あのソフト、買うかどうか迷ってるんで、効果あるなら入れようかな。
- 名前:SANTA@管理人 : 投稿日：2014/08/21(木) 22:39:53 返信
  
  試していないため分からないのですが、対応していないのでは無いかなと思います。
  ウイルスバスターという名前ではありますが、やってることはウェブブラウザにセーフ機能を付けた程度なので・・・
名前:匿名 : 投稿日：2014/08/21(木) 18:54:52 返信

なんと！？広告のIDが書き換えられるのか・・・
こりゃいい商売になりますね（ゲス顔）

勿論そんなことしませんがｗ
名前:Yoshimame : 投稿日：2014/08/21(木) 20:09:17 返信

Lock画像の壁紙がずっと前にあった海外のバックトゥーｻﾞフューチャー？に出てる人なのかな
その人に勝手に変わるんですがこれは
何をしたら治りますか？どこにあるのか知ってる人いませんか？あとどのtweakを消せばいいですか？
- 名前:SANTA@管理人 : 投稿日：2014/08/21(木) 22:36:34 返信
  
  正規に購入されていない、と認識されている脱獄アプリがインストールされていませんでしょうか
名前:匿名 : 投稿日：2014/08/21(木) 21:27:43 返信

壁紙が勝手に変わるのは、割れ物使ってるからでしょ。
pirateって書いてるんでしょ。
割れ物tweak消せば直る。
その後そのtweakを正規に購入したら完了。
名前:匿名 : 投稿日：2014/08/24(日) 00:26:24 返信

無いのはおかしいっすね…(汗)
名前:ボンチョビ : 投稿日：2015/11/24(火) 23:53:57 返信

記事のアップいちもお疲れ様です！今回初心者の質問になるのですが
iphone6plus ios8.4脱獄済み
で、ウイルスバスターを入れる機会があったので入れようと思うのですが
ウイルスバスター入れても大丈夫でしょうか？パソコンに入れてるウイルスバスター
が、モバイルデバイスにも併用して使えるのでこの機会に入れとこうと思った次第です。
初心者なのでお手数お掛けしますが、よろしくお願いします。
脱獄アプリはImpactor Activator Xmodgame AntRecの４個のみです。(記載の物はデバイス上のアプリです)Cydiaのインストール済みはBigBossIconSet CydiaInstaller CydiSubstrate CydiaTranslations PatcyH SubstrateSafeMode Taig8.1-8.xUntether xxcocPlugin xxplugin-coc
です。
- 名前:SANTA@管理人 : 投稿日：2015/11/24(火) 23:57:02 返信
  
  ウイルスバスターは単なるアプリなので、インストールしていただいても大丈夫です。
  ただし、逆に言えばiOS版のウイルスバスターにウイルスなどを見つける力はありませんので、ご注意ください。
名前:ボンチョビ : 投稿日：2015/11/25(水) 00:30:53 返信

ご回答ありがとうございます。ご説明でよく解りました！ですね、項目のifileなど記事を参照して対策考えます。書かれてるようにウイルスの心配はしていませんが、ウイルスバスターは保留にしときますとりあえず。ありがとうございます！
名前:ボンチョビ : 投稿日：2015/11/25(水) 00:42:28 返信

追記です！[脱獄犯ならiFileを入れておこう]を見て入れておきます！！