海賊版の脱獄アプリに「マルウェア」が同梱されている、デバイス情報の送信やコマンド操作が行える状況に？ [JBApp]

とある海賊版リポジトリがマルウェア（ウイルス、トロイの木馬）を同梱させた脱獄アプリを配布している…との報告が行われています。
どうやらデバイス情報の送信だけではなく、サーバー側から遠隔でコマンド操作も可能な状況である様で、なかなか危険…。

マルウェアが同梱

The mainrepo malware ("MobileSafeMode.dylib") sends your UUID to a server, the server then has the ability to send back any command that should be executed on your device. It's essentially a backdoor that's running inside SpringBoard and Cydia. pic.twitter.com/QcY4rFnRDg

— opa334 (@opa334dev) March 23, 2021

脱獄アプリやWindows版Futurerestoreの開発者でもあるopa334氏より、海賊版リポジトリが配布しているマルウェアについての報告が行われています。
【MainRepo】と呼ばれる海賊版の脱獄アプリを配布しているリポジトリが、それら脱獄アプリにマルウェアを混入させた状態で配布し、脱獄アプリ自体を削除したとしてもマルウェアは消えず、デバイス内に残ったまま…となるようです。

何を行っている？

本マルウェアが何をしているか？ですが、Opa334氏は解析した結果として以下のように述べています。

デバイス情報（UDID）を海賊版リポジトリのサーバーへ送信
シリアル番号やECID、MACアドレスなど、他のデバイス情報も取得されていますが、直接送信されているのはUDIDのみ。取得された他の情報が何に使われているかは不明。
サーバーからの指示により、デバイス側で好きなコマンド操作が行える状態にある

ファイル名を偽装し、侵入

マルウェアファイルは【/Library/MobileSubstrate/DynamicLibraries/】に配置されており、現在確認出来ているファイルは以下の3つ。

【MobileSafeMode.dylib】
【SnowBoardSB.dylib】
【RocketbootStrapUI.dylib】

それぞれ、セーフモード用の実行ファイル名に似せていたり（本物は「MobileSafety.dylib」）、SnowBoardの実行ファイルやRocketBootstrapに似せてありますが、本物にはこのファイルはありません。

海賊版リポジトリからの説明が…

この指摘について、海賊版リポジトリ側が説明を行っています。ただ…説明というよりは…挑発に近い感じで…。

何をするファイルなの？

マルウェアではない…と海賊版リポジトリ側は説明を行っており、役割としては「大したことはしていません。クラックを行ったり、使用している脱獄のバージョンや種類などによってクラックが動作しない場合があるので、それを検知するためです。」としています。

ただし、この説明に関してopa334氏は「完全に嘘。MobileSafeMode.dylibを解析した限りでは、このファイルでクラックは行っておらず、脱獄アプリ自体のdylib側で行われています。」と反論をしています。

なぜこんなファイル名なの？

他の脱獄アプリなどに偽装するような紛らわしいファイル名になっている点については「一部脱獄アプリでクラック用ファイルを検知する仕組みを組み込んだため、それを回避するため」と説明。
更に「これが見つかった時にTwitterなどで騒ぎ立てる人が現れ、無料の宣伝も出来て最高だったよ！」と…もはや挑発…。

ちなみに、この説明以外でも「宣伝してくれてありがとう！」など、挑発行為を連発していたりします…。

危険なの？

結局のところ「危険なのか？」ですが、危険です。

海賊版リポジトリという性質は別にしても「デバイス情報を取得される、遠隔で任意のコマンド操作を実行される」という状況だけで、危険！
例えば、写真や連絡先などを含む各種データを盗むことも簡単ですし、キーチェーンの盗聴や二段階認証の突破なども…出来てしまう可能性があります。

この状況は、危険以外の何者でもありません。

確認方法

感染有無は「Filza File Manager」にて【/Library/MobileSubstrate/DynamicLibraries/】内に「MobileSafeMode.dylib」、「SnowBoardSB.dylib」、「RocketbootStrapUI.dylib」のファイルがあるかどうか？を確認することで可能です。

ちなみに、「MobileSafety.dylib」は本物なので、こちらは削除してしまわないように注意してください。

〆

海賊版リポジトリの説明は「あなたのデバイスを好きに出来るけど、信用して！」と言っているに過ぎず、だれが信用できるんだ…という感じでしょうか…。なんか無駄に挑発してるし…。

名前:匿名 : 投稿日：2021/03/24(水) 20:53:44 返信

hackyouriphone思い出した
割れ、ダメゼッタイ！

名前:匿名 : 投稿日：2021/03/24(水) 22:07:40 返信

嘘偽り無い名前なのでセーフ

名前:匿名 : 投稿日：2021/03/24(水) 20:58:06 返信

iSecureOSでも反応したらしいですね
流石GeoSn0wさんっすわ

名前:SANTA@管理人 : 投稿日：2021/03/24(水) 21:33:53 返信

現在対応するように作業中…という感じですね

名前:匿名 : 投稿日：2021/03/24(水) 21:06:53 返信

ファイル名の大文字小文字は関係あるのですか？

名前:SANTA@管理人 : 投稿日：2021/03/24(水) 21:33:33 返信

基本的には区別されますが、記事中に記載されているファイル類については、大文字小文字関係なく、同名ファイルがあれば問題…と認識していただくのが良いのかなと思います。

名前:匿名 : 投稿日：2021/03/24(水) 21:48:24 返信

RocketbootStrap.dylibがあったのですが、削除すればいいのでしょうか？

名前:SANTA@管理人 : 投稿日：2021/03/24(水) 21:50:10 返信

問題となるファイルは「RocketbootStrapUI.dylib」です。そちらのファイルは本物ですので削除する必要はありません。

名前:匿名 : 投稿日：2021/03/24(水) 21:50:08 返信

まーこの記事読んでるような人達は大丈夫でしょう！
大丈夫だよね……？

名前:匿名 : 投稿日：2021/03/24(水) 21:54:36 返信

Santaさん、解答ありがとうございます。

名前:匿名 : 投稿日：2021/03/24(水) 22:26:57 返信

有料tweakの購入方法がわからない未成年ニキネキは「Vプリカ」でググろうな。
バンドルカードもいいぞ！

名前:匿名 : 投稿日：2021/03/25(木) 00:16:05 返信

海賊王に俺はならない！

名前:匿名 : 投稿日：2021/03/25(木) 04:24:10 返信

昔だったらプリペイドカードって種類なかったけど、今ならLINEpayとかあるから買いやすくなったよね

名前:匿名 : 投稿日：2021/03/25(木) 07:35:21 返信

海賊版入れるって選択肢はないな…
悪意で上回られることは目に見えているし

名前:匿名 : 投稿日：2021/03/25(木) 09:39:43 返信

だが断る

名前:匿名 : 投稿日：2021/03/25(木) 12:16:41 返信

数百円くらい払えよお

名前:匿名 : 投稿日：2021/03/25(木) 23:20:10 返信

MobileSubstrateフォルダ自体無かったわー安心かな。

名前:匿名 : 投稿日：2021/03/26(金) 07:07:32 返信

そんなことある？
- 名前:匿名 : 投稿日：2021/05/20(木) 17:15:07 返信
  
  Taurineなんじゃね()

名前:匿名 : 投稿日：2021/03/26(金) 15:54:43 返信

タダより高い物はない

名前:匿名 : 投稿日：2021/03/26(金) 18:29:40 返信

入ってなくて一安心
やっぱりタダには裏があるもんだなと

名前:さ : 投稿日：2021/10/20(水) 18:51:23 返信

気になるんですが、このウイルスとかが入ってた場合ってFilzaでファイル削除すればいいんですか？

名前:SANTA@管理人 : 投稿日：2021/10/20(水) 19:47:44 返信

削除していただき、一度デバイスを再起動することで大丈夫…になる場合もあります。
ただし、同梱されたマルウェアファイルはどんどん変化していきますので、基本的には一度Restore RootFSなどを実行していただくのが安全です。
- 名前:さ : 投稿日：2021/10/21(木) 07:45:08 返信
  
  なるほど、ありがとうございます。

名前:匿名 : 投稿日：2021/03/24(水) 20:53:44 返信

hackyouriphone思い出した
割れ、ダメゼッタイ！
- 名前:匿名 : 投稿日：2021/03/24(水) 22:07:40 返信
  
  嘘偽り無い名前なのでセーフ
名前:匿名 : 投稿日：2021/03/24(水) 20:58:06 返信

iSecureOSでも反応したらしいですね
流石GeoSn0wさんっすわ
- 名前:SANTA@管理人 : 投稿日：2021/03/24(水) 21:33:53 返信
  
  現在対応するように作業中…という感じですね
名前:匿名 : 投稿日：2021/03/24(水) 21:06:53 返信

ファイル名の大文字小文字は関係あるのですか？
- 名前:SANTA@管理人 : 投稿日：2021/03/24(水) 21:33:33 返信
  
  基本的には区別されますが、記事中に記載されているファイル類については、大文字小文字関係なく、同名ファイルがあれば問題…と認識していただくのが良いのかなと思います。
名前:匿名 : 投稿日：2021/03/24(水) 21:48:24 返信

RocketbootStrap.dylibがあったのですが、削除すればいいのでしょうか？
- 名前:SANTA@管理人 : 投稿日：2021/03/24(水) 21:50:10 返信
  
  問題となるファイルは「RocketbootStrapUI.dylib」です。そちらのファイルは本物ですので削除する必要はありません。
名前:匿名 : 投稿日：2021/03/24(水) 21:50:08 返信

まーこの記事読んでるような人達は大丈夫でしょう！
大丈夫だよね……？
名前:匿名 : 投稿日：2021/03/24(水) 21:54:36 返信

Santaさん、解答ありがとうございます。
名前:匿名 : 投稿日：2021/03/24(水) 22:26:57 返信

有料tweakの購入方法がわからない未成年ニキネキは「Vプリカ」でググろうな。
バンドルカードもいいぞ！
名前:匿名 : 投稿日：2021/03/25(木) 00:16:05 返信

海賊王に俺はならない！
名前:匿名 : 投稿日：2021/03/25(木) 04:24:10 返信

昔だったらプリペイドカードって種類なかったけど、今ならLINEpayとかあるから買いやすくなったよね
名前:匿名 : 投稿日：2021/03/25(木) 07:35:21 返信

海賊版入れるって選択肢はないな…
悪意で上回られることは目に見えているし
名前:匿名 : 投稿日：2021/03/25(木) 09:39:43 返信

だが断る
名前:匿名 : 投稿日：2021/03/25(木) 12:16:41 返信

数百円くらい払えよお
名前:匿名 : 投稿日：2021/03/25(木) 23:20:10 返信

MobileSubstrateフォルダ自体無かったわー安心かな。
- 名前:匿名 : 投稿日：2021/03/26(金) 07:07:32 返信
  
  そんなことある？
  - 名前:匿名 : 投稿日：2021/05/20(木) 17:15:07 返信
    
    Taurineなんじゃね()
名前:匿名 : 投稿日：2021/03/26(金) 15:54:43 返信

タダより高い物はない
名前:匿名 : 投稿日：2021/03/26(金) 18:29:40 返信

入ってなくて一安心
やっぱりタダには裏があるもんだなと
名前:さ : 投稿日：2021/10/20(水) 18:51:23 返信

気になるんですが、このウイルスとかが入ってた場合ってFilzaでファイル削除すればいいんですか？
- 名前:SANTA@管理人 : 投稿日：2021/10/20(水) 19:47:44 返信
  
  削除していただき、一度デバイスを再起動することで大丈夫…になる場合もあります。
  ただし、同梱されたマルウェアファイルはどんどん変化していきますので、基本的には一度Restore RootFSなどを実行していただくのが安全です。
  - 名前:さ : 投稿日：2021/10/21(木) 07:45:08 返信
    
    なるほど、ありがとうございます。