iOS-Malware stiehlt Passwörter von freigeschalteten iPhones

Derzeit ist eine Schadsoftware für iOS im Umlauf, die in der Lage ist, Passwörter zu stehlen. Betroffen sind allerdings nur iPhones und iPads, auf denen ein Jailbreak installiert wurde. Erstmals wiesen Reddit-Nutzer Anfang des Monats auf die Unflod genannte Malware hin, die verschiedene Apps wie Snapchat und Google Hangouts abstürzen lässt.

Der deutsche Sicherheitsforscher Stefan Esser hat Unflod nach eigenen Angaben analysiert. Dabei stellte er fest, dass das Schadprogramm die Apple ID und das zugehörige Passwort eines iOS-Geräts stiehlt. Die Daten schickt es dann an Server eines US-Hostinganbieters, der offenbar überwiegend chinesische Kunden bedient.

Esser zufolge wurde Unflod mit einem iPhone-Entwickler-Zertifikat signiert. Wie die Malware in Umlauf gebracht wurde, ist bisher nicht bekannt. Es wird vermutet, sie könnte über eine chinesischen App Store verbreitet worden sein. Im offiziellen Cydia-Store von Jay Freeman, der viele Tweaks und Programme für Jailbreaker anbietet, ist die Malware bisher nicht aufgetaucht.

„Es ist wichtig darauf hinzuweisen, dass diese Bedrohung nur für freigeschaltete iPhones existiert und die Signatur der Binärdatei nicht benötigt wird, damit die Malware funktioniert“, schreibt Esser in seinem Blog. „Die Tatsache, dass sie noch da ist, ist ein Flüchtigkeitsfehler (oder eine Irreführung) des Angreifers.“

Der Code für Unflod sei nicht besonders komplex und die Datei an sich recht klein, ergänzte Esser. „Die Malware verbindet sich mit SSLWrite des Security.framework und durchsucht den Puffer nach bestimmten Zeichenfolgen, die auf eine Apple ID und das Passwort dafür hinweisen. Werden sie gefunden, versucht der Code eine Verbindung zum Port 7878 der IP-Adressen 23.88.10.4 und 23.228.204.55 aufzubauen, und die gestohlenen Daten im Klartext zu senden.“

Ein infiziertes Gerät muss möglicherweise zurückgesetzt werden, um den Schädling restlos zu entfernen. „Derzeit nimmt die Jailbreak-Community an, dass die Löschung der Binärdateien Unflod.dylib/framework.dylib und im Anschluss die Änderung des Passworts ausreichend ist“, heißt es weiter in Essers Blog. „Es ist allerdings noch nicht bekannt, wie die Bibliothek auf das Gerät gelangt ist und von daher ist auch nicht bekannt, ob es andere ‚Malware-Geschenke‘ mitgebracht hat. Wir gehen deswegen davon aus, dass nur ein vollständiges Zurücksetzen die Malware entfernt, was auch einen Verlust des Jailbreak bedeutet.“

Schadprogramme für iPhones sind sehr selten. Bisher ist nur eine Malware bekannt, die es unentdeckt in Apples App Store geschafft hat. Sicherheitsforscher warnen allerdings wiederholt vor den Risiken eines Jailbreak, der nicht nur Zugriff auf von Apple nicht angebotene Programme bietet, sondern auch den Schutz, der sich aus dem fehlenden Root-Zugriff ergibt, aufhebt.

[mit Material von Thomas Brewster, TechWeekEurope]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago