FireEyeは以前のブログで、エンタープライズやAdHocプロビジョニングでインストールされた正規のiOSアプリがマルウェアを含む不正アプリに置き換えてしまう「Masque Attack」の脆弱性を確認したことを公開しているが、これによる攻撃は確認されていなかった。しかし、同社はイタリアのHacking Teamの流出の件で調査をしていた際に、Masque Attackを悪用したiOSアプリを11件確認した。また、Masque AttackがジェイルブレイクされていないiOS端末に悪用されていたことを今回初めて確認した。
同社によると、これらのアプリはリバースエンジニアリングによりWhatsApp、Twitter、Facebook、Facebook Messenger、WeChat、Google Chrome、Viber、Blackberry Messenger、Skype、Telegram、VKに機密データを抽出するようデザインされた追加バイナリーが挿入され、リモートサーバと通信を行って機密データを収集していた。Masque Attackの脆弱性は同一のバンドル識別子を使用している場合に悪用されるが、iOS 8.1.3で修正されて同じバンドル識別子を持つアプリの入れ替えができなくなった。しかし、このバンドル識別子を攻撃者がリモートで設定可能なため、iOS 8.1.3以降でも不正なアプリへの置き換えが可能であった。
今回のHacking Teamの情報流出から、iOSに対する高度な標的型攻撃の実体が明らかになっており、iOSユーザは常にiOSを最新の状態にバージョンアップし、アプリのダウンロードには十分注意する必要があるとしている。