ソフトウェア

個人情報を抜き取るマルウェア「XcodeGhost」に感染してApp Storeで配信されていたことが判明しているアプリはコレ

By Ciro Urdaneta

個人情報を抜き取るマルウェア「XcodeGhost」に感染した多数のiOSアプリがApp Storeで公開され、一般ユーザーがインストールできる状態だったことが判明しています。感染したアプリは300以上にのぼると見られていて、セキュリティベンダーのLookoutPalo Alto Networksが、感染されたとされるアプリの一覧を公開しています。

XcodeGhost iOS malware: The list of affected apps and what you should do | Lookout Blog
https://blog.lookout.com/blog/2015/09/21/xcodeghost-apps/

Malware XcodeGhost Infects 39 iOS Apps, Including WeChat, Affecting Hundreds of Millions of Users - Palo Alto Networks BlogPalo Alto Networks Blog
http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users/

◆マルウェア「XcodeGhost」とは?
個人情報などを抜き取るXcodeGhostは、Appleが提供しているiOSアプリ開発環境のXcodeを改ざんすることで作成されるマルウェアです。Appleが提供しているXcodeに問題はないのですが、中国のミラーサーバーで違法に公開されているXcodeがこの改ざんを受けていることが多いと見られています。通信環境が整備されていない中国では、海外にある正規サーバーからファイル容量が4GBあるXcodeをダウンロードすることが困難なために、中国国内に置かれた非正規のミラーサーバーからダウンロードされることが多いという特有の事情が存在しています。

Palo Alto Networksによると、XcodeGhostで作られたアプリが実行されると、現在時刻、感染しているアプリ名、アプリの識別ID、iPhoneに付けられた名前、UUID、使用言語と国刻、ネットワーク種別を収集し、暗号化したうえでアプリ側が指定するサーバーへ送信するとのこと。


Appleは感染されたアプリのApp Storeでの公開を停止していますが、記事作成時点で具体的なアプリ名は公表されていません。そんな中でLookoutとPalo Alto Networksが公開したアプリ名は以下のようなものとなっています。

Lookoutが公表しているアプリのリストは以下のとおり。多くは中国向けのアプリですが、日本でも使われている名刺管理アプリのCamCardCamScanner、チャットアプリのWeChatや、ゲームのアングリーバード2などが含まれている点にも注意が必要です。

・10000+ Wallpapers for iOS 8, iOS 7, iPhone, iPod and iPad
・CamCard Business
・CamScanner Pro
・CamScanner +| PDF Document Scanner and OCR
・CamScanner Free| PDF Document Scanner and OCR
・LifeSmart
・OPlayerHD Lite
・WeChat
・WinZip - The leading zip unzip and cloud file management tool
・喜马拉雅FM(Podcasts)儿童故事评书股票财经郎眼radio
・股市热点
・自由之战-真·5V5(第一MOBA手游)
・中国联通手机营业厅(官方版)
・网易云音乐-好口碑,电台FM歌曲下载必备
・网易公开课 – 教育视频平台、名校名师名课、TED演讲、优质纪录片
・开眼 – 精选视频推介,每天大开眼界
・愤怒的小鸟2-李易峰至爱手游(アングリーバード2)
・爱推
・电话号码归属地助手

Palo Alto Networksが公表しているのは以下のアプリ。

・51卡保险箱  5.0.1
・air2
・AmHexinForPad
・baba
・BiaoQingBao
・CamCard v6.5.1
・CamScanner
・CamScanner Lite
・CamScanner Pro
・ChinaUnicom3.x
・CSMBP-AppStore
・CuteCUT
・DataMonitor
・FlappyCircle
・golfsense
・golfsensehd
・guaji_gangtai en
・Guitar Master
・IHexin
・immtdchs
・InstaFollower
・installer
・iOBD2
・iVMS-4500
・jin
・Lifesmart  1.0.44
・MobileTicket
・MoreLikers2
・MSL070
・MSL108
・Musical.ly
・nice dev
・OPlayer
・OPlayer Lite
・OPlayer  2.1.05
・PDFReader
・PDFReader Free
・Perfect365
・PocketScanner
・Quick Save
・QYER
・SaveSnap
・SegmentFault  2.8
・snapgrab copy
・SuperJewelsQuest2
・ting
・TinyDeal.com
・Wallpapers10000
・WeChat
・WeLoop
・WhiteTile
・WinZip
・WinZip Sector
・WinZip Standard
・下厨房
・下厨房  4.3.2
・我叫MT 2  1.10.5
・我叫MT  5.0.1
・快速问医生  7.73
・喜马拉雅  4.3.8
・股市热点
・口袋记账  1.6.0
・高德地图
・自由之战  1.1.0
・新三板
・中国联通手机营业厅  3.2
・中信银行动卡空间  3.3.12
・滴滴司机
・滴滴出行  4.0.0.6-4.0.0.0
・滴滴打车  3.9.7.1 – 3.9.7
・豆瓣阅读
・同花顺
・同花顺  9.60.01
・微信  6.2.5
・微博相机
・夫妻床头话  1.2
・礼包助手
・炒股公开课
・网易云音乐
・网易云音乐  2.8.3
・网易公开课  4.2.8
・开眼  1.8.0
・愤怒的小鸟2 2.1.1
・懒人周末
・爱推
・电话归属地助手  3.6.5
・穷游  6.6.6
・简书  2.9.1
・药给力  1.12.1
・讯飞输入法  5.1.1463
・铁路12306  4.5
・马拉马拉  1.1.0

なお、Appleは既にマルウェアに感染しているアプリをApp Storeから削除済みとのこと。具体的なアプリ名は明らかにされていないようですが、300種類以上のアプリが公開を停止されていると報じられています。

Apple removes malicious programs after first major attack on app store | Technology | The Guardian


また、アプリ側の対応は当然ながらまちまちの状態で、アップデートでパッチ修正を対応済みのものから非対応のものまでが混在している状況。上記のリストに含まれているアプリがインストールされている場合は、急を要さない場合は使用を控えるか、不要であればアンインストールしておくほうが良いかもしれません。また、以下のLookoutのページなどではアプリごとの対応が更新されている状況なので、定期的にチェックすするのも良さそう。記事作成時点では、「Life Smart」「10000+ Wallpapers for iOS 8, iOS 7, iPhone, iPod and iPad」「アングリーバード2」などのアプリが「Still malicious(マルウェア状態)」と記載されていました。

XcodeGhost iOS malware: The list of affected apps and what you should do | Lookout Blog


◆2015/09/24 18:25追記
感染が報じられているCAMCARDのうち、日本のApp Storeで配布されているアプリはマルウェアの感染が認められたアプリ「CamCard v6.5.1」とパッケージが異なるため、製品の使用に影響はないとのこと。

Hi @CamCardIntSig I just verified CN version 6.5.1 CamCard was infected by XcodeGhost but US version 5.5.2 CamCard was not cause it's older.

— Claud Xiao (@claud_xiao)

また、法人向け「CAMCARD BUSINESS」については、すでに修正されたアプリがApp Storeで公開されているため、該当するユーザーには最新版アップデートの案内が行われている状況です。

CAMCARD BUSINESS XcodeGhostに対するご報告 - 【名刺管理アプリ】CAMCARD BUSINESSでビジネスを加速させる
https://www.camcard.jp/business/information/0923/

◆2015/09/25 11:45 追記
中国のAppleのサイトで、この件に関する説明と影響を受けたアプリの一部が掲載されました。感染を受けたアプリはいずれもApp Storeからは削除済みとなっており、公開が再開されているものは安全が確認されたバージョンになっているとのことです。再公開されていないものについても、近いうちに公開するとされています。

有关 XcodeGhost 的问题和解答 - Apple (中国)

この記事のタイトルとURLをコピーする

・関連記事
iPhoneやiPadに悪意あるアプリが勝手にインストールされる脆弱性が発見される、AirDropを利用 - GIGAZINE

iPhone/iPadからiCloudのパスワードを盗める重大な脆弱性が発覚、Appleは脆弱性を約半年間放置した模様 - GIGAZINE

iOSユーザーは判明済みの深刻な脆弱性を数週間放置されていたと元社員がAppleを批判 - GIGAZINE

過去最大20万台以上の脱獄済みiOS端末がマルウェアに感染、アカウント情報が流出したと判明 - GIGAZINE

政府機関を狙う謎の巨大スパイ組織によるマルウェア「Turla」は衛星回線をも利用していることが明らかに - GIGAZINE

「脆弱性を探すためにコードを読むな」とOracleの最高セキュリティ責任者がブログを投稿後に速攻で削除 - GIGAZINE

ネットの夜明けから現代まで、「インターネットセキュリティ」の歴史を分かりやすく解説するとこうなる - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.