XAgentはiOS 7を搭載した機種にインストールされるとアプリのアイコンが表示されず、すぐさまバックグラウンドで実行され、プロセスを中止してアプリを停止させようと試みてもすぐに自動的に再起動するようになっています。

また、実行中はHTTP経由で各種情報を送信するほか、FTP経由でファイルのアップロードも行われるとのこと。送信される情報は以下のような項目。

・SMSのメッセージ（以下、テキストメッセージ）の収集
・コンタクトリストの取得
・写真の取得
・地理的な位置情報の収集
・音声録音の開始
・インストール済みアプリのリスト取得
・プロセスリストの取得
・Wi-Fiのステータスの取得

iOS 8では完全に隠されないことから同社では2014年9月のiOS 8のリリース以前に設計されたと考えられるとしています。

一方、MadCapはXAgentに似ているものの、音声録音が主な不正内容で、JailBreakさせた機種のみにインストールが可能だということとです。

同社ではどちらのアプリも感染経路であるインストールさせる具体的な手法は明らかになっていないとし、ユーザーをだますために「アプリをインストールするためにここをタップして下さい」とだけ書かれた「XAgent」に関連した事例を確認しているということで、Appleのアドホック用プロビジョニングを利用し、リンクをクリックするだけで簡単にインストールされるということです。

その他にもWindowsパソコンに侵入もしくは感染させた後、USBケーブルで接続されたiPhoneなどに感染する方法なども考えられるとしています。



■関連リンク
・エスマックス（S-MAX）
・エスマックス（S-MAX） smaxjp on Twitter
・S-MAX - Facebookページ
・Pawn Storm Update: iOS Espionage App Found
・諜報活動を目的とする「Pawn Storm 作戦」に不正なiOSアプリを確認 | トレンドマイクロ セキュリティブログ