モバイル
iPhoneも標的にするモバイルマルウェア「KeepSpy」
2022年9月30日頃から10月2日にかけて、通信事業者を装ったSMSから誘導される偽サイトより、iPhoneに感染するマルウェア「KeepSpy」の亜種を確認しました。これは8月上旬ごろに活動を確認した端末をProxy化するKeepSpyをiPhone向けに対応したものであり、感染してしまったiPhoneは攻撃者による不正アクセスの踏み台とされてしまう可能性があります。
2022年9月30日頃から10月2日にかけて、通信事業者を装ったSMSから誘導される偽サイトより、iPhoneに感染するマルウェア「KeepSpy」の亜種を確認しました。これは8月上旬ごろに活動を確認した端末をProxy化するKeepSpyをiPhone向けに対応したものであり、感染してしまったiPhoneは攻撃者による不正アクセスの踏み台とされてしまう可能性があります。
SMSと偽サイトによる感染の誘導
感染端末からSMSを送信する機能を持つ従来型のKeepSpy(Android向けのみ)は、8月以降では国税庁を騙る内容によるSMSを感染端末から送信させていました。SMSのリンクにアクセスしたモバイル端末のOS種類や時間帯により誘導先サイトを切り替えており、Androidの場合にはKeepSpyの感染を誘導するサイト、iPhoneの場合には国税庁を騙り電子マネーで税金の支払いを要求する詐欺サイトにも誘導するケースを多く確認していました。
一方、踏み台機能を持つKeepSpy亜種への感染は、8月上旬以降ではみられなくなっていましたが、9月28日頃より国税庁を騙るSMSからAndroid向けのKeepSpy亜種への感染誘導の再開を確認していました。その後、9月30日頃からはSMSのメッセージ内容に変化がみられ、再び特定の通信事業者をかたる内容となり、iPhoneをも感染対象とした攻撃を確認しました。
/mobile-malware-target-iphones/Picture1.png)
/mobile-malware-target-iphones/Picture2.png)
感染の誘導に使用される偽サイト
SMS中に書かれているリンクをタップすると、通信事業者を騙る偽サイト①へ誘導されます。この偽サイトでは、セキュリティ対策製品のインストールを装って利用者にKeepSpyのダウンロードおよびインストールを誘導しており、インストールのための詳細な手順が記載されています。また、利用者の端末にてWi-Fiをオフにすることを誘導していることが確認できます。
/mobile-malware-target-iphones/Picture3.png)
偽サイト①にて「ダウンロード」をタップすると、今度は下図のような偽サイト②へ誘導されます。さらに「ダウンロード」をタップすると、アプリのインストール、および構成プロファイルのダウンロードの許可を確認するダイアログがiPhone上に表示されます。偽サイトに記載されているインストール手順の通りに、構成プロファイルで「許可」を選択し、さらに「VPNとデバイス管理」設定「エンタープライズAPP」からアプリの開発元について「信頼」を選択してしまうと、偽サイトからダウンロード・インストールされたアプリ(KeepSpy)を起動することが可能となります。これは、独自にカスタマイズしたアプリケーションを組織内での利用目的で配布するためのApple Developer Enterprise Programの仕組みが利用されたものとみられます。
/mobile-malware-target-iphones/Picture4.png)
マルウェアの解析から見える攻撃者の狙い
認証情報の窃取
iPhone向けのKeepSpy亜種では、起動後には通信事業者のアカウント情報を入力させる偽画面を表示し、利用者が画面に入力した情報は攻撃者に窃取されます。また、Wi-Fiの状態をチェックしており、有効な状態の場合にはWi-Fiを無効にしてアプリを起動するようなダイアログを表示しています。
/mobile-malware-target-iphones/Picture5.png)
/mobile-malware-target-iphones/Picture6.png)
ipaファイルの内部
iPhone向けのKeepSpy亜種は、ipaファイル(ios.ipa)として端末にダウンロードされます。このipaファイルの内部に含まれるデータを確認するとiOS向けにビルドされたMach-Oプログラムである「Frp-ios」ファイルを確認することができます。「Frp-ios」を解析した結果、オープンソースProxyツールであるfrpが組み込まれており、その設定データを外部サイトから動的に取得するためのURLなどが定義されており、該当URLからは、frpクライアント(frpc)の設定データが応答されていることが確認できました。
/mobile-malware-target-iphones/Picture7.png)
/mobile-malware-target-iphones/Picture8.png)
/mobile-malware-target-iphones/Picture9.png)
/mobile-malware-target-iphones/Picture10.png)
これらの動作特徴については、8月に見られたAndroid向けのKeepSpy亜種と同様であり、今回のiPhone向けのKeepSpyの狙いは、Android版のものと同様に、通信事業者で使用される認証情報を利用者から窃取し、端末を踏み台にすることであると考えられます。感染端末を踏み台としたサイトアクセスでは、Webサイトから見た場合の接続元は感染端末のIPアドレスになります。前述のとおり、Wi-Fiの設定を無効化して起動するように仕向けているところから、接続元IPアドレスを通信事業者のものに見せかけようとしている目的があるものと推測されます。
被害に遭わないためには
iPhoneへのマルウェア感染を狙った攻撃では、同じく通信事業者を狙ったTianySpyの事例がありましたが、インストール時に構成プロファイルを利用されていることがポイントの1つでした。今回のKeepSpyへの感染についても、開発元を信頼する設定を利用者に選択させることで初めて感染することが可能となり、そこには利用者の操作が必ず必要となります。
多くのiPhone利用者にとっては、開発元を信頼するかを確認するような画面を見る機会は稀であると考えられますが、今回の偽サイトへ誘導するSMSは無差別に送られたものであり、誰しもが感染の脅威にさらされる危険性があったといえます。
iPhoneへの感染を狙うマルウェアや不正アプリのインストールから端末を守るうえでは、今回のような手口が実際に悪用されていることを知っているかが重要となります。iPhoneであってもAndroidであっても、利用者の操作次第ではマルウェアに感染してしまう可能性があることを再度認識し、アプリのインストールには十分な注意を払う必要があるといえます。
なお、トレンドマイクロでは、被害防止を図るべく本件をApple社に報告しています。
侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
執筆協力
トレンドマイクロ サイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センター
サイバースレットリサーチグループ 河田 芳希