Jailbreak済みiOSデバイスに感染しApple IDとパスワードを盗むマルウェア「AppBuyer」が発見された!〜感染しているかの確認方法〜

Unflod.dylibに引き続き、新たにJailbreak済みiOSデバイスに感染しApple IDとパスワードを盗むマルウェア「AppBuyer」がPalo Alto Networksによって発見されました。この「AppBuyer」に感染しているかの確認方法をまとめておきます。

確認方法

iFileなどで、以下の階層に太字のファイルがないかをチェックします。

/System/Library/LaunchDaemons/com.archive.plist
/bin/updatesrv
/tmp/updatesrv.log
/etc/uuid
/Library/MobileSubstrate/DynamicLibraries/aid.dylib
/usr/bin/gzip

これらのうち、どれかがあったら、「AppBuyer」に感染している可能性が高いです。Palo Alto Networksによれば、感染経路は今のところ解明されておらず、もし上記ファイルが存在したとして、それを削除しただけでは完全な問題の解決にはならないだろうのことです。よって、デバイスを復元するしかないでしょう。

私は感染していませんでした。iOS Jailbreakユーザーは是非確認してみてください。また、くれぐれも怪しいリポジトリや.debファイルのインストールは控えるようにしましょう。

[Source: PaloAltoNetworks via: Redmond Pie]