偽のモバイルデバイス管理サーバーからiPhoneに不正アプリ　インドで

偽のモバイルデバイス管理(MDM)サーバーを用い、インド国内で使われている13台のiPhoneをターゲットにして行われていた攻撃についてCisco Talosが報告している(Cisco's Talos Intelligence Group Blogの記事、The Registerの記事、Ars Technicaの記事)。

この攻撃はオープンソースのMDMサーバーにターゲットのiPhoneを登録させ、正規アプリの改変版を送り込んでデータを収集するというものだ。どのようにしてiPhoneがMDMに登録されたのかは判明していないが、デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている。

改変されたアプリはWhatsAppとTelegram、礼拝の時刻を知らせるPrayTimeの3本。BOptionsによりライブラリーをサイドローディングする手法で改変が行われ、ターゲットの端末にインストールされている正規版を置き換える形で送り込まれたという。このほか、テスト用とみられるアプリ2本も確認されている。
MDMサーバーとC&Cサーバーに残されたログから、攻撃は2015年8月から行われていたことが判明している。攻撃者が自分の端末でテストした際のデータも残されており、電話番号やローミング状態などから攻撃者もインド国内にいたとみられている。一方、MDMの証明書はmail.ruドメインの電子メールアドレスが使われていたとのことで、ロシアからの攻撃を偽装しようとしていたようだ。

AppleはTalosが連絡した時点で既に3件の証明書について対策を行っており、Talosが報告した他2件の証明書についても対策を行ったとのことだ。今回の攻撃をソーシャルエンジニアリング的手法で誘導したとすれば、MDMにiPhoneを登録させるにはターゲットユーザーが証明書の追加を承認する必要があることから、Talosではクリックする前にもう一度考えるよう呼び掛けている。

　スラドのコメントを読む | アップルセクション | セキュリティ | iOS | iPhone

　関連ストーリー：
家庭用ルーターを攻撃してAndroid端末に偽アプリをインストールさせる攻撃 2018年05月25日
iOSで突然表示されるログインポップアップにご注意を 2017年10月11日
XcodeGhost、Appleのコードレビューでも発見されないマルウェア感染iOSアプリを生成 2015年09月21日