iOS 偽りの開発環境にマルウエアが仕組まれていた模様 – App Store のチェックをくぐり抜け配布されたので要注意です

公開日:2015/09/21

中国発のお話なのですけれど、セキュリティ調査・対策を専門に行っている、超有名企業のパロアルトネットワークスからの発表で、iOS の偽りの開発環境 Xcode Ghost を使ってビルドされたアプリケーションにマルウエアが仕組まれていて、このアプリケーションが App Store の審査をくぐり抜け、配布されていたと、こちらの記事で発表しています。

注意が必要です。

問題の開発環境は、Xcode Ghost と呼ばれているもので、中国ではネットワーク環境が劣悪な場合があるため、正式な開発環境は、 Apple のサーバーと通信しながら動作するのに対し、これらを行わなくても開発が進められるように、不正に改造された開発環境です。

この Xcode Ghost を使ってビルドされたアプリケーションには、開発者が指定した不正なサーバーに対し、

• iPhone につけた名前
• UUID
• 使用言語
• 自宅の住所
• ネットワーク種別

などを暗号化したうえで送るという、動作を行うとのことです。

上記のような項目は、一般の問題のないアプリケーションでも指定したサーバーに、利用者の確認をとったうえで送る物も一部に存在するため、おそらくは App Store での審査を通ってしまったのだろうと、指摘しています。

調査が進み、Xcode Ghost でビルドされたアプリの特定も進んでいて、危険なアプリのリストも公開されています。

以下はパロアルトネットワークスのページに記載されているもの(2015/9/21 13:40)を転記したものです。今後追加されることもあるかと思いますので、最新のアプリのリストは、こちらのページをご覧になってください。

• 网易云音乐  2.8.3
• 微信  6.2.5
• 讯飞输入法  5.1.1463
• 滴滴出行  4.0.0.6-4.0.0.0
• 滴滴打车  3.9.7.1 – 3.9.7
• 铁路12306  4.5
• 下厨房  4.3.2
• 51卡保险箱  5.0.1
• 中信银行动卡空间  3.3.12
• 中国联通手机营业厅  3.2
• 高德地图  7.3.8
• 简书  2.9.1
• 开眼  1.8.0
• Lifesmart  1.0.44
• 网易公开课  4.2.8
• 马拉马拉  1.1.0
• 药给力  1.12.1
• 喜马拉雅  4.3.8
• 口袋记账  1.6.0
• 同花顺  9.60.01
• 快速问医生  7.73
• 懒人周末
• 微博相机
• 豆瓣阅读
• CamScanner
• CamCard
• SegmentFault  2.8
• 炒股公开课
• 股市热点
• 新三板
• 滴滴司机
• OPlayer  2.1.05
• 电话归属地助手  3.6.5
• 愤怒的小鸟2 2.1.1
• 夫妻床头话  1.2
• 穷游  6.6.6
• 我叫MT  5.0.1
• 我叫MT 2  1.10.5
• 自由之战  1.1.0
• Fox-IT (fox-it.com), a Netherlands based security company, checked all C2 domain names from our reports in their network sensors and has found thousands of malicious traffic outside China. According to their data, these iOS apps were also infected:
• Mercury
• WinZip
• Musical.ly
• PDFReader
• guaji_gangtai en
• Perfect365
• 网易云音乐
• PDFReader Free
• WhiteTile
• IHexin
• WinZip Standard
• MoreLikers2
• CamScanner Lite
• MobileTicket
• iVMS-4500
• OPlayer Lite
• QYER
• golfsense
• 同花顺
• ting
• installer
• 下厨房
• golfsensehd
• Wallpapers10000
• CSMBP-AppStore
• 礼包助手
• MSL108
• ChinaUnicom3.x
• TinyDeal.com
• snapgrab copy
• iOBD2
• PocketScanner
• CuteCUT
• AmHexinForPad
• SuperJewelsQuest2
• air2
• InstaFollower
• CamScanner Pro
• baba
• WeLoop
• DataMonitor
• 爱推
• MSL070
• nice dev
• immtdchs
• OPlayer
• FlappyCircle
• 高德地图
• BiaoQingBao
• SaveSnap
• WeChat
• Guitar Master
• jin
• WinZip Sector
• Quick Save
• CamCard

重複しているとは思いますが、中国のセキュリティチームと思われる、こちらのページにも、危ないアプリのリストがあります。

中国語をアプリの名称に使っているものが、多いですが、英語の名前がつけられたアプリの中には、よく使われているものも含まれているように思うので、ご確認ください。

とても残念なことだと思いますが、App Store の審査をくぐり抜けた不正なアプリの検出は、今回が初めてではなく、iPhone は安全という神話は、そろそろ崩れてきているのは事実と思います。ご注意ください。