Appleが提供するアプリストア「App Store」は、その厳しい審査要件からこれまで安全性が確保されてきたが、今回巧妙な手口により、Appleが気付かないように悪意のあるアプリを配布する方法が明らかになった。

今回明らかになったのは、Appleの2つの正規機能を悪用してApp Storeの審査要件を回避し、悪質なアプリケーションをインストールさせるという手口だ。

Appleの正規機能を悪用して悪質なアプリケーションをインストールさせる2つの手法

本来iOSではApp Store以外からのアプリはインストール出来ないはずだった

Appleは以前から、iPhoneやiPadのアプリに関して、セキュリティ審査に合格し、App Storeに登録された物のみがインストール出来ることを要求している。そしてこのセキュリティ審査によって、悪意のあるアプリがデバイスに入り込み、暗号通貨やパスワードを盗んだり、その他の悪質な行為を行ったりすることを防いでいるのだ。

セキュリティ企業のSophosが水曜日に公開した投稿では、CryptoRomと呼ばれる組織的犯罪で使用されている新しい手法に注目している。これは、偽の暗号通貨アプリを無防備なiOSおよびAndroidユーザーにインストールさせる手法だ。Androidはサードパーティ市場からのアプリをインストールすることを許可しているので、危険なアプリケーションをインストールしてしまう危険性あるということは理解できるが、Appleは、iOSでアプリをインストールするためには、徹底的なセキュリティ審査を受けた後のアプリをAppStoreから入手するという手順を踏むことを要求しているため、これは一見不可能なように見える。ではどのように行われているのだろうか？

詐欺手法その1：TestFlightを使った手法

iOSに不正なアプリをインストールさせるために使われる方法の1つが、Appleが新しいアプリケーションのベータテスト用に公開しているプラットフォーム、TestFlightだ。App StoreからAppleのTestFlightアプリケーションをインストールすれば、iOSユーザは誰でも、まだ審査に合格していないアプリケーションをダウンロードし、インストールすることができるようになる。つまり、TestFlightがインストールされていると、ユーザーは、攻撃者が詐欺サイトや電子メールで公開するリンクを使って、審査を通過していないアプリをダウンロードできるようになってしまうのだ。そして、ユーザーは、TestFlightを使用して、自分の電子メールアドレスを使用するか、公開リンクを共有することで、最大10,000人のテスターを招待することができるようになっている。

セキュリティ企業SophosのマルウェアアナリストであるJagadeesh Chandraiah氏は、「私たちに連絡してきた被害者の中には、日本の暗号通貨取引所のアプリであるBTCBOXと思われるものをインストールするよう指示されたと報告している人もいます」と書いている。また、「暗号通貨マイニング企業であるBitFuryを装った偽サイトが、TestFlightを通じて偽アプリを売り込んでいることも確認されました」とのことだ。「私たちは、同じ手法で他のCryptoRomアプリを探し続けています」

Sophosの報告では、CryptoRomで使用された画像のいくつかが示されている。 餌にかかったiOSユーザーは、クリックするとTestFlightアプリが偽の暗号通貨アプリをダウンロードしインストールする原因となるリンクを受け取っていた。

Chandraiah氏は、TestFlightを使った手法は、これまで知られてきたAppleの正当な機能を悪用してApp Storeを回避する手法では得られない利点を攻撃者に提供するものであると述べている。

今までによく行われてきたApp Storeを回避する手法の1つは、AppleのSuper Signatureプラットフォームで、Appleの開発者アカウントを使用して、限定的にアドホックにアプリを配信することが可能になっていることを悪用した手法だ。もう1つは、同社のDeveloper Enterprise Programだ。これは、大企業が、従業員がApp Storeを利用することなく、社内用に独自のアプリを配備できるようにするものだ。どちらの方法も、詐欺師は金銭的な負担が必要であること、また、その他のハードルをクリアする必要がある。

それとは対照的に、今回明らかになったTestFlightを使った手法については、

配布は他者が行い、マルウェアに気づいてフラグを立てられても、マルウェア開発者は次のサービスに移ってやり直せばよいのです。[TestFlight] は、Apple Test Flight App で配布された場合、少し安く、より合法的に見えるため、場合によっては Super Signature や Enterprise Signature よりも悪意のあるアプリ開発者に好まれることがあります。また、審査もApp Storeの審査より甘いとされています。

詐欺手法その2：WebClipsを使った手法

また、Sophosからの報告によると、CryptoRomの詐欺師たちは、WebClipsと呼ばれるAppleの機能を使用して、その活動を偽装しているとのことだ。WebClipsとは、iPhoneのホーム画面にウェブページのリンクをアイコンの形で直接追加し、アプリのように起動させられる機能だ。これにより、ユーザーにブックマークをアプリと混同させることが出来る事を利用した巧妙な手口となる。

Sophosのリサーチャーによると、CryptoRomはWebClipsを使って、偽アプリをインストールさせるURLに誘導するとのことだ。以下に示すのは、RobinHandというアプリ（本来はアプリではなく、アプリを偽装したブックマーク）のアイコンだが、正規のRobinhood取引アプリを模倣するように設計されている。App Storeページと同様なデザインのページまで作り、経験の浅いユーザーが騙されやすいように巧妙に作られている。

TestFlightとWebClipsの悪用は、経験豊富なインターネットユーザーには見破られそうだが、経験の浅い人は騙される可能性がある。 iOSユーザーは、公式App Store以外からアプリをダウンロードするように指示するサイト、メール、メッセージには、引き続き注意が必要だ。