headless 曰く、

偽のモバイルデバイス管理(MDM)サーバーを用い、インド国内で使われている13台のiPhoneをターゲットにして行われていた攻撃についてCisco Talosが報告している(Cisco's Talos Intelligence Group Blogの記事、 The Registerの記事、 Ars Technicaの記事)。

この攻撃はオープンソースのMDMサーバーにターゲットのiPhoneを登録させ、正規アプリの改変版を送り込んでデータを収集するというもの。どのようにしてiPhoneがMDMに登録されたのかは判明していないが、デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている。

改変されたアプリはWhatsAppとTelegram、礼拝の時刻を知らせるPrayTimeの3本。BOptionsによりライブラリーをサイドローディングする手法による改変が行われ、ターゲットの端末にインストールされている正規版を置き換える形で送り込まれたという。このほか、テスト用とみられるアプリ2本も確認されている。

MDMサーバーとC&Cサーバーに残されたログから、攻撃は2015年8月から行われていたことが判明。攻撃者が自分の端末でテストした際のデータも残されており、電話番号やローミング状態などから攻撃者もインド国内にいたとみられている。一方、MDMの証明書はmail.ruドメインの電子メールアドレスが使われていたとのことで、ロシアからの攻撃を偽装しようとしていたようだ。

AppleはTalosが連絡した時点で既に3件の証明書について対策を行っており、Talosが報告した他2件の証明書についても対策を行ったとのことだ。ソーシャルエンジニアリング的手法で誘導し、MDMにiPhoneを登録させるにはターゲットユーザーが証明書の追加を承認する必要があることから、クリックする前にもう一度考えるようTalosでは促している。