iOS-Malware YiSpecter auch für Geräte ohne Jailbreak gefährlich

Sicherheitsspezialisten von Palo Alto Networks haben eine neue iOS-Malware entdeckt, die auch Geräte befällt, die nicht durch einen Jailbreak modifiziert worden sind. Der mit YiSpecter bezeichnete Schadcode nutzt dabei Schwachstellen in Apples Distributionskanal für Entwickler- und Unternehmens-Apps aus. Nutzer müssen der Installation allerdings zustimmen. Laut Apple sind die fraglichen Schwachstellen seit iOS 8.4 geschlossen. Anwender, die Apps ausschließlich aus dem offiziellen App Store herunterladen, seien davon nicht betroffen.

Laut Palo Alto Networks steht die chinesichen Firma Bejing Yingmob Interactive Technology hinter der Entwicklung von YiSpecter. Drei der vier Malware-Komponenten sind mit Zertifikaten des Unternehmens signiert. Die Kommando-Server werden außerdem auf firmeneignenen Websites gehostet.

YiSpecter gelangt auf die Geräte auf unterschiedliche Weise. Nutzer werden bespielsweise über App-Promos in Sozialen Netzwerken zur Installation aufgefordert. Allerdings hat Palo Alto Networks auch herausgefunden, dass die Hacker offenbar Teile der Mobilfunkinfrastruktur bestimmter Anbieter kontrollieren und dadurch ohne Zutun der Anwender ein Hinweis-Fenster zur Installation auf den mit dem gekaperten Mobilfunknetz verbundenen Geräten einblenden können. Laut Analysen der Sicherheitsanbieter Qihoo 360 und Cheetah Mobile wurde für die Verteilung der Schadsoftware auch der sogenannte Lingdun-Wurm genutzt. Er befällt Windows-PCs unter Nutzung gefälschter Zertifikate von Symantec und VeriSign. Auch in sogenannten Untergrund-Sites fand sich die Malware. Die Anbieter werden pro Installation mit bis zu 0,4 Dollar belohnt.

ANZEIGE

Der Nutzen von iOS 9 für Enterprise Mobility

Mit iOS 9 bringt Apple jetzt eine neue Version seines mobilen Betriebssystems, die konsequent sowohl den Workflow als auch den Schutz der Daten in den Unternehmen optimiert. Und iOS 9 stellt die nötigen Andockstellen für ein übergreifendes Enterprise-Mobility-Management-System bereit.

YiSpecter besteht aus vier Komponenten, die alle mit mit von Apple ausgestellten Zertifikaten signiert sind. Diese laden sich durch Missbrauch privater APIs von einem Command-and-Control-Server herunter und installieren sich. Drei der Komponenten verbergen ihre Icons vor der iOS-Benutzeroberfläche Springboard, damit es Benutzern schwerer fällt sie aufzuspüren suchen und zu löschen kann. Außerdem nutzen sie Namen und Logos von System-Apps.

Die von Apple ausgestellten Zertifikate erlauben die Installation von Apps außerhalb des App Stores. Diese Form der App-Distribution ist vor allem für Unternehmen und Entwickler wichtig. Erstere können einen Unternehmens-App-Shop einrichten, sodass Nutzer ohne Umweg über den offizellen App Store Anwendungen installieren können. Entwickler können Apps vor der Veröffentlichung testen und verbessern, bevor sie sie in den App Store einreichen.

Einmal auf einem Gerät installiert, kann YiSpecter weitere Apps herunterladen, installieren und starten. Außerdem kann die Malware Anwendungen durch von ihr heruntergeladene Apps ersetzen und die Ausführung anderer Apps behindern, um Werbung anzuzeigen. YiSpecter ist zudem in der Lage, in Safari die Standardsuchmaschine, Lesezeichen und geöffnete Seiten zu ändern und Geräteinformationen zu einem Server der Angreifer hochzuladen.

Bisher richten sich Angriffe mit der Malware YiSpecter vor allem gegen iOS-Nutzer in China und Taiwan. Diese wurden mit der Beschreibung “Private Version” oder “Version 5.0” des Mediaplayers QVOD zur Installation verleitet. Die von Kuaibo entwickelte App QVOD wurde in China bis 2014 von Nutzern zum Teilen von Porno-Videos verwendet. 2014 ging jedoch die Polizei gegen den Entwickler vor, dessen Videoabspieldienst wurde abgeschaltet. Die Hintermänner von YiSpecter begannen daraufhin ihre App als vermeintliche alternative zu QVOD anzubieten.

Wird YiSpecter manuell gelöscht, erscheint die Malware nach einem Neustart automatisch wieder. Anzeichen für eine Infektion sind zusätzliche „System-Apps“ auf dem Gerät, die mittels Tools von Drittanbietern erkannt werden können. Palo Alto Networks hat Signaturen veröffentlicht, um den Datenverkehr von YiSpecter zu blockieren. Außerdem gibt das Unternehmen Betroffenen Ratschläge, wie sie YiSpecter manuell entfernen können.

[mit Material von Peter Marwan, ITespresso]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago