本ブログでは、2017 年 9 月に iOS の不正な構成プロファイル「iXintpwn（アイシントポウン）（別名：YJSNPI（ヤジュウセンパイ）ウイルス）」について解説しました。iXintpwn は、未署名の構成プロファイルの形で侵入し、ホーム画面に大量のアイコンを作成します。インストール時に、場合によっては iOS のホーム画面を管理する標準アプリが強制終了し、端末が応答不能の状態に陥ることもあります。また、アンインストールを困難にするために、作成されるアイコンは削除不可に設定されていました。

トレンドマイクロは、2017 年 10 月、署名済みプロファイルを利用して前回とは異なる攻撃を実行する iXintpwn の新しい亜種（「IOS_YJSNPI.A」として検出）を確認しました。「IOS_YJSNPI.A」は、 2 つのアプリストア「hxxp://m[.]3454[.]com」および「hxxp://m[.]973[.]com」で配布されていました。弊社の解析によると、この新しい亜種の主な目的は、前回のように対象端末のオペレーティング・システム（OS）に負担をかけることではなく、「リパックアプリ」をダウンロードさせる Web サイトへの誘導です。

図 1：前回確認された未署名のプロファイル（左）、今回確認された署名済みプロファイル（右）
署名済みプロファイル（右）の説明には、「ゲーム、ソフトウェア、壁紙を提供するiOS アプリストア」とある。