偽のモバイルデバイス管理サーバーからiPhoneに不正アプリ インドで

2018年7月16日 16:34

偽のモバイルデバイス管理(MDM)サーバーを用い、インド国内で使われている13台のiPhoneをターゲットにして行われていた攻撃についてCisco Talosが報告している(Cisco's Talos Intelligence Group Blogの記事The Registerの記事Ars Technicaの記事)。 この攻撃はオープンソースのMDMサーバーにターゲットのiPhoneを登録させ、正規アプリの改変版を送り込んでデータを収集するというものだ。どのようにしてiPhoneがMDMに登録されたのかは判明していないが、デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている。 改変されたアプリはWhatsAppとTelegram、礼拝の時刻を知らせるPrayTimeの3本。BOptionsによりライブラリーをサイドローディングする手法で改変が行われ、ターゲットの端末にインストールされている正規版を置き換える形で送り込まれたという。このほか、テスト用とみられるアプリ2本も確認されている。 MDMサーバーとC&Cサーバーに残されたログから、攻撃は2015年8月から行われていたことが判明している。攻撃者が自分の端末でテストした際のデータも残されており、電話番号やローミング状態などから攻撃者もインド国内にいたとみられている。一方、MDMの証明書はmail.ruドメインの電子メールアドレスが使われていたとのことで、ロシアからの攻撃を偽装しようとしていたようだ。 AppleはTalosが連絡した時点で既に3件の証明書について対策を行っており、Talosが報告した他2件の証明書についても対策を行ったとのことだ。今回の攻撃をソーシャルエンジニアリング的手法で誘導したとすれば、MDMにiPhoneを登録させるにはターゲットユーザーが証明書の追加を承認する必要があることから、Talosではクリックする前にもう一度考えるよう呼び掛けている。

関連記事

最新記事