Categories: Cyberkriminalität

Operation Pawn Storm: Trend Micro entdeckt Spionage-Apps für iOS

Trend Micro hat bei weiteren Untersuchungen zu der erstmals im Herbst 2014 enthüllten Malware-Kampagne Operation Pawn Storm zwei speziell für iOS entwickelte Spionage-Apps entdeckt. Sie werden nach Angaben des Unternehmens aktiv für zielgerichtete Angriffe verwendet. Mindestens eine der beiden Apps kann auch Geräte infizieren, die nicht per Jailbreak freigeschaltet wurden.

Operation Pawn Storm ist eine laufende Kampagne, die wirtschaftlichen und auch politischen Zwecken dient. Sie richtet sich gegen Regierungen, Medien, die Rüstungsindustrie und das Militär. Die beiden jetzt entdeckten Schadprogramme für iOS ähneln laut Trend Micro der für die Kampagne verwendeten fortschrittlichen Windows-Malware SEDNIT.

Die beiden Spionageprogramme nennt Trend Micro XAgent und MadCap. Beide stehen weiterhin aktiv in Kontakt mit einem entfernten Befehlsserver. Während XAgent auf beliebigen iOS-Geräten installiert werden kann, kann MadCap nur iPhones und iPads befallen, wenn das Opfer zuvor einen Jailbreak angewendet hat.

XAgent wiederum funktioniert nur unter iOS 7 vollständig, weswegen Trend Micro vermutet, dass die Schadsoftware vor September 2014 entwickelt wurde. Unter iOS 8 ist sie nicht in der Lage, ihr Programmsymbol zu verbergen. Zudem kann sie sich nur unter iOS 7 automatisch neu starten, falls ihr Prozess beendet wurde.

Entwickelt wurde XAgent, um Textnachrichten, Standortdaten, Bilder und Adressen zu sammeln. Die Malware kann aber auch Gespräche aufzeichnen, eine Liste aller installierten Apps erstellen, die laufenden Prozesse und auch den WLAN-Status ermitteln. Alle Informationen sendet XAgent per HTTP an einen Server im Internet. Die im HTML-Format erstellten Log-Dateien sind teilweise farblich markiert, um eine Auswertung zu erleichtern. Die Analyse des Codes zeigt laut Trend Micro zudem, dass die Schadsoftware „sorgfältig gepflegt und immer wieder aktualisiert“ wird.

MadCap ähnelt in vielen Bereichen XAgent, ist jedoch auf die Aufzeichnung von Audio spezialisiert. Wie beide Schadprogramme auf iOS-Geräte kommen, hat Trend Micro noch nicht ermittelt. „Wir wissen allerdings dass die iOS-Geräte nicht per se freigeschaltet sein müssen. Wir haben einen Fall gesehen, in dem der Köder lediglich ‚Tippen Sie hier, um die Anwendung zu installieren‘ lautet“, heißt es im Trend-Micro-Blog. Die App benutze das für Entwickler gedachte Ad Hoc Provisioning, bei dem eine App nur durch das Klicken auf einen Link installiert wird. Trend Micro hält es aber auch für wahrscheinlich, dass sich die beiden Schadprogramme per USB über einen zuvor kompromittierten Windows-PC verbreiten.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago