iOS-Malware KeyRaider entwendet Zugangsdaten von 225.000 Apple-Nutzern

Sicherheitsexperten von Palo Alto Networks haben in Zusammenarbeit mit dem App-Marktplatzbetreiber WeipTech.org eine neue iOS-Malware entdeckt, die für den Diebstahl von bisher 225.000 gültigen Anmeldedaten für Apple-Accounts verantwortlich ist. Ihnen zufolge handelt es sich um den bisher „größten bekanntgewordenen Diebstahl von Apple-Kontendaten durch Malware“. Die KeyRaider genannte Schadsoftware gelangt über Cydia-Repositories auf iOS-Geräte mit Jailbreak. Betroffen sind auch Anwender aus Deutschland, Frankreich und Großbritannien.

Die Forscher von Palo Alto Networks und WeipTech haben gemeinsam 92 Proben der frei zirkulierenden Malware-Familie identifiziert. Sie ist ihnen zufolge in insgesamt 18 Ländern aktiv. Einige Opfer berichteten, dass ihre Apple-Konten eine ungewöhnliche App-Kaufhistorie aufwiesen, andere von verschlüsselten Smartphones, für deren Entschlüsselung sie ein Lösegeld zahlen sollten.

KeyRaider kann auch iPhones verschlüsseln und dann vom Benutzer ein Lösegeld fordern (Bild: Palo Alto Networks).Laut Palo Alto Networks heftet sich die mit der App Utopia verbreitete Malware über MobileSubstrate an Systemprozesse und stiehlt dann Benutzernamen, Passwörter und Geräte-GUIDs von Apple-Konten, indem sie iTunes-Verkehr auf iPhone oder iPad abfängt. KeyRaider hat so auch Zugriff auf Zertifikate sowie private Schlüssel von Apples Push-Benachrichtigungsdiensts, stiehlt und gibt App-Store-Bestellinformationen weiter und deaktiviert lokale sowie ferngesteuerte Entriegelungsfunktionen auf iPhone und iPad.

WeipTech.org kam der Malware auf die Spur, als es von Benutzern gemeldete, verdächtige Tweaks für iOS untersuchten. Dabei fanden sie heraus, dass diese alle auf einem Server gespeichert waren. Ziel der Autoren der KeyRaider-Malware ist es, dass Benutzer von zwei iOS-Jailbreak-Tweaks Anwendungen aus dem offiziellen App Store herunterladen und In-App-Käufe tätigen können, ohne dafür bezahlen zu müssen.

Die beiden Tweaks kapern dazu App-Kauf-Anfragen, laden Daten gestohlener Konten oder Kaufbelege von ihrem Kommandoserver herunter und emulieren dann das iTunes-Protokoll, um sich am Apple-Server anzumelden und mit den gestohlenen Daten dann Apps oder andere von den Nutzern der Tweaks gewünschte Artikel zu kaufen. Die Tweaks sind über 20.000-mal heruntergeladen worden, was darauf hindeutet, dass derzeit auch ungefähr so viele Nutzer die 225.000 gestohlenen Anmeldedaten missbrauchen.

Palo Alto Networks empfiehlt allen Besitzern von iOS-Geräten, keinen Jailbreak durchzuführen. Keines der verfügbaren Cydia-Repositories führe derzeit strenge Sicherheitskontrollen für hochgeladene Apps oder Tweaks durch.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.