【脱獄犯は注意】AppleID&パスワードを盗み取るウイルス「Unflod.dylib」が見つかる [iOS]

(51)

脱獄しているiPhone等のiOSデバイスから【Apple ID】と【パスワード】を盗み取り外部サーバーへ送信していると見られる、いわゆるマルウェアが発見されました。
Unflod.dylib』というファイル名のCydia Substrateアドオンになっており、脱獄環境で感染し実行されます。

この『Unflod.dylib』について確認方法や現状分かっている感染経路も含め、ご紹介。脱獄している方は「感染していないか?」を確認するようにしてください

スポンサーリンク

Unflod.dylib

今回報告された【Unflod.dylib】は、Cydia Substrateアドオンとして脱獄環境で実行されます。
脱獄を行っているデバイスのほぼ全てにCydia Substrateが入っているはずなので、どのデバイスでも感染する可能性があると言う事です。

ただし、64bit未対応なようなので、iPhone 5s・iPad Air・iPad mini Retinaでは実行されないようです。でも確認だけはしてください。

Apple IDとパスワードを盗む

Unflod.dylib】に感染している場合、Apple認証サーバーへ接続する際の生データから【Apple ID】と【パスワード】を盗み取り、外部のサーバーへ送信しているとのこと。

また、送信先は【23.88.10.4】でIP割り当て国はアメリカなのですが、ブラウザでアクセスしてみると中国語のエラーメッセージが表示される、IPを調べていくと中国に関係する名称が出てくる、と言ったことから実際には中国へ送信している可能性が高いと考えられるようです。(まだ確定ではありません)

unflod-send-appleid-password-china-02

感染の確認方法

Unflod.dylib】自体はCydia Substrateアドオンですので、iFileなどを使用して「下記ファイルが存在しないか?」を確認してください。
もし、このファイルがある場合は感染しているという事です。

/Library/MobileSubstrate/DynamicLibraries/Unflod.dylib

unflod-send-appleid-password-china-03

感染していた場合は…

もし【Unflod.dylib】ファイルが存在した場合は、ファイルの削除をしてからデバイスの再起動を行ってください。
更に、AppleIDとパスワードの変更も行いましょう。

感染経路について

執筆時点ではまだ確定した物はないのですが、感染経路の一つとして「クラックアプリ」を使用している場合が挙げられるようです。
特に有名なクラックリポジトリからインストールした【Auxo 2】に付属してきた可能性が高いとのこと。また、他の物もまだ確認出来ていないだけで、同様の状況である可能性も考えられるようです。

更に、原因となった元の脱獄アプリをCydiaから削除したとしても、【Unflod.dylib】は削除されずにそのまま放置となります。そのため、手動で削除する必要があるのです。

他にもありそう

ただし、どうやら他にも感染経路があるらしく、身元がハッキリしていない脱獄アプリやリポジトリは使わないようにしてください。

Unflod.dylib】自体は注意が必要ですが、新たに凄く危険な感染経路が発覚するような事がなければ、通常使用しているだけならそこまで極端に怖がる必要は無いのかなと思っています。
ただし、注意だけは忘れずに、よく分からない物には近づかない!これを心がけましょう。

コメント

  1. 急いで確認したけど無かったやれやれ

  2. 割れもの入れてないけど念の為確認、、セーフwww

  3. unblod.dylibと一文字違い…焦った^^;
    クラックアプリは入れてませんが

    • 他にもUnfoldという凄く似た名前の物もあるので、ちょっとビックリすることがあるかもですね・・・!

  4. 連投すみません二文字

  5. なかった良かった
    でも貴重な情報ありがとうございます

  6. Auxo2って$3.99だよ食うに困ってるのか。Jailがbreakされているのでセキュリティは100倍気をつけないと。Storeで買い物されてもカード会社と交渉する手段があるけど何かを仕込まれたらiCloudから何からみんな持っていかれちゃう。

  7. RemoveUnflodという$0.99のソフトをこさえるとむしろ感染台数が増えるわなと…。

  8. 中学生の方に感染者多そうですね。

    • やめろよおれのことじゃん!

  9. そんなものは無かったぞい!俺安全。

  10. ウイルス怖いですね
    脱獄しているデバイスすべて確認して
    Unflod.dylib
    はなかったから安心ですが、油断はできないですね

  11. ありませんでした!ありがとうございます。

  12. セーフでした。割れはやらないけど油断できないので
    iCleaner pro のユーザー指定に登録しました。

  13. 怪しいのも入れてはいるが、とりあえず無かった。

  14. クラック入れてないけどOpenSSH入れてたから慌てて確認したw
    大丈夫だったけど、クラックは怖いから絶対に入れない…(´・ω・`)

  15. SANTAちゃん、わざとUnflod.dylib入れたの?(笑)

    • 色々と感染経路を探してみたのですがどうにもハッキリとした部分が確定出来なかったので、直接入れてみました!

      • ということは、感染している場合のファイルが20.6KBとは限らないわけですかね…?w

        • 実行ファイルが同じであれば、容量自体は変わらないかと思います。
          ただ、何かしらの改変等が行われた亜種が出てきた場合は難しいですね・・・

  16. 有難うございました。無かったです、やっぱりクラックは怖いですね。

  17. この画像は管理さん自身のものですか?

    • デバイスの画面でしょうか?
      そうであれば、私のiPhone 4sにてわざとunflod.dylibを実行させている場面の物になります。

  18. これって全てのフォルダ確認しないといけないんですか?

    • とりあえずCydia Substrateアドオンですので、/Library/MobileSubstrate/DynamicLibraries/内にあるかを確認して見てください

      • いつも拝見させてもらってます。
        この記事の質問なのですがUnflod.dylibはないのですがUnflodPatch.dylibと
        UnflodPatch.plistがあるのですがこれも削除したほうがいいのでしょうか?

        • Unflodを修正するためのパッチだと思われますが、不要なのであればCydiaからアンインストールしてください

  19. 何を言ってるんだ?
    日本語読めるなら何も困ることはない文章で書かれてるけど

  20. 割れを苦々しく思ってる作者側、という可能性もある。
    アプリなら兎も角脱獄用の拡張は殆ど安価なんだから買ってあげてと思うけど。

    また割れではないから大丈夫、何てのは幻想でどっからどんなものが紛れ込むかは分かりません。
    幸い、appleIDなら買われまくってもいたずらの範疇で済むレベルの被害にしかなりません。
    アプリ決済で送金、なんてやっても林檎は金を払わないでしょうし。

    カード抜かれたりしたら可哀想な事になるかも。

  21. 皆さん自分のデバイスに入ってる.dylibって、全部理解出来てるんですかね??
    Unflod.dylibが入ってたらアウト=違うファイル名ならセーフ=知らぬが仏理論のよーな?w

  22. 少なくとも有料は安心が高めなのは揺るがない
    作者側の立場で考えれば分かるけど
    脱獄アプリマーケットは一日100万とか収入があるし開発者としての名誉もあるしヘッドハンティングもある程
    その環境を破壊する行為は考えにくい
    て事はクラックアプリの中にあると考えるのが自然で正規版作者は無害に近い

    つまらん見解でした

  23. 今使ってるデバイスは7.1なので脱獄してないんですが、過去に脱獄してたことがあり不安なのですが確認する方法あったりしますか?

    • 大丈夫だと思うよ
      なんせ入獄環境でしか活動出来ないはず
      今回のはアドオンでの活動だから宿主がなければ動かない

  24. 無料のは寄付募ってるからそこ考えるとこれらもシロだね
    似たファイル名のは当然偽装撹乱するよくある手口

  25. まぁ基本的にある程度のリスクは考えてJBしてますけどねー?ID抜き取られてもカード情報入れてないし、気をつけろって事で。こういうコミュニティでは情報共有で、成り立つのではと思うので、【素人が勘違いしてんじゃねーよ】的な発言はやめて、共有しましょ!

  26. 有料アプリは正規にお金を出してって事ですね。今回の件でクラック版はハイリスクだという認識を改めて感じました。

  27. 確定ではないけどクラックによる感染のみって確定したら、それはそれで自業自得
    クラックいれてなくて良かった

    数百円、高くても千円強、アプリはしっかり買いましょう

  28. 有名なリポジトリのサイトのURLを一文字違いで作成しておいて、そこからウイルス入りをインストールさせることって可能なんですかね?

    リポジトリって基本手打ちで入力してますから、それが可能だったら知らずに引っかかってしまう人もいそうですけど。

  29. ありましたけど削除し再起動しパスワード変えました。
    ふー良かったです♪

  30. MSアドオンで動くのなら、dylibファイル名も偽装が可能だな
    そのうちこれ用のパッチが提供されるだろうが、問題はその派生が出たときだな
    脱獄専用アンチウイルスとか出たら嵌るな

  31. うちの職場だと脱獄するアプリが全部ウイルス扱いだわ

    仕事中にリリースされた時あって落とそうと思ったらエラーで落ちなかったんだが
    10分後に本社のセキュリティ担当から電話来た時は焦った

  32. 脱獄してから変なメールが来た事あったし、やっぱり最低限の注意は必要。
    よくあれこれ試すけど、これなんかやばい?なんてのもあったし。

  33. たぶん有名どころのクラックアプリのとこの AUXO 2 を見たけどウイルスは発見できなかった。 どんな物かを見てみたかったけど・・・・

  34. まぁ、割れが原因なら自業自得としか…

  35. 脱獄アプリにしても何にしても開発者の苦労を金で買ってるって感じ。
    便利なものありがとうみたいな。その苦労を踏みにじってるんだからやっぱ割れ厨の自滅。
    中学生だからお金ないとか割れを正当化する理由にもならないんだよね。
    これに懲りてお金出すやつ出ればいいのにね。

  36. そもそもモバイルターミナルでルートパス変えたら安全とかまるで無知が多すぎだから
    その辺santaくんも大々的にこのサイト全体を通して拡散しなくてはイケナイんじゃないかな
    健全な専門サイト運営者としてさ

  37. セキュリティ大特集号が世に出ても三才ブックスの購入層は見向きもしないでしょう。SSH導入時のパスワード変更の重要性は既に十分解説されているので、後は個人のリテラシーの範疇でそこまでリーチしえないでしょう多分。Jailbreakのリスクは痛い目にあってはじめて意識するでしょうから、今のままでいいと思います。今回のこのエントリー1つだけでも勲章ものです。応援してますよSANTAさん!

  38. クラックアプリ入れてないのにあった(((((((( ;゚Д゚))))))))

  39. そもそもmobilesubstrateが無かった…
    アプデ放置してるからか

  40. Unfold9.dylibって大丈夫かな…iOS9だから9が死ぬほど引っかかる。。。

    • FoldLockがインストールされていませんでしょうか?

      こちらは「Unflod」であり「Unfold」は無関係です。