Operation Pawn Storm: Trend Micro entdeckt Spionage-Apps für iOS

Trend Micro hat bei weiteren Untersuchungen zu der erstmals im Herbst 2014 enthüllten Malware-Kampagne Operation Pawn Storm zwei speziell für iOS entwickelte Spionage-Apps entdeckt. Sie werden nach Angaben des Unternehmens aktiv für zielgerichtete Angriffe verwendet. Mindestens eine der beiden Apps kann auch Geräte infizieren, die nicht per Jailbreak freigeschaltet wurden.

Operation Pawn Storm ist eine laufende Kampagne, die wirtschaftlichen und auch politischen Zwecken dient. Sie richtet sich gegen Regierungen, Medien, die Rüstungsindustrie und das Militär. Die beiden jetzt entdeckten Schadprogramme für iOS ähneln laut Trend Micro der für die Kampagne verwendeten fortschrittlichen Windows-Malware SEDNIT.

Die beiden Spionageprogramme nennt Trend Micro XAgent und MadCap. Beide stehen weiterhin aktiv in Kontakt mit einem entfernten Befehlsserver. Während XAgent auf beliebigen iOS-Geräten installiert werden kann, kann MadCap nur iPhones und iPads befallen, wenn das Opfer zuvor einen Jailbreak angewendet hat.

XAgent wiederum funktioniert nur unter iOS 7 vollständig, weswegen Trend Micro vermutet, dass die Schadsoftware vor September 2014 entwickelt wurde. Unter iOS 8 ist sie nicht in der Lage, ihr Programmsymbol zu verbergen. Zudem kann sie sich nur unter iOS 7 automatisch neu starten, falls ihr Prozess beendet wurde.

Entwickelt wurde XAgent, um Textnachrichten, Standortdaten, Bilder und Adressen zu sammeln. Die Malware kann aber auch Gespräche aufzeichnen, eine Liste aller installierten Apps erstellen, die laufenden Prozesse und auch den WLAN-Status ermitteln. Alle Informationen sendet XAgent per HTTP an einen Server im Internet. Die im HTML-Format erstellten Log-Dateien sind teilweise farblich markiert, um eine Auswertung zu erleichtern. Die Analyse des Codes zeigt laut Trend Micro zudem, dass die Schadsoftware „sorgfältig gepflegt und immer wieder aktualisiert“ wird.

MadCap ähnelt in vielen Bereichen XAgent, ist jedoch auf die Aufzeichnung von Audio spezialisiert. Wie beide Schadprogramme auf iOS-Geräte kommen, hat Trend Micro noch nicht ermittelt. „Wir wissen allerdings dass die iOS-Geräte nicht per se freigeschaltet sein müssen. Wir haben einen Fall gesehen, in dem der Köder lediglich ‚Tippen Sie hier, um die Anwendung zu installieren‘ lautet“, heißt es im Trend-Micro-Blog. Die App benutze das für Entwickler gedachte Ad Hoc Provisioning, bei dem eine App nur durch das Klicken auf einen Link installiert wird. Trend Micro hält es aber auch für wahrscheinlich, dass sich die beiden Schadprogramme per USB über einen zuvor kompromittierten Windows-PC verbreiten.