Sicherheitsspezialisten von Palo Alto Networks haben eine neue iOS-Malware entdeckt, die auch Geräte befällt, die nicht durch einen Jailbreak modifiziert worden sind. Der mit YiSpecter bezeichnete Schadcode nutzt dabei Schwachstellen in Apples Distributionskanal für Entwickler- und Unternehmens-Apps aus. Nutzer müssen der Installation allerdings zustimmen. Laut Apple sind die fraglichen Schwachstellen seit iOS 8.4 geschlossen. Anwender, die Apps ausschließlich aus dem offiziellen App Store herunterladen, seien davon nicht betroffen.
Laut Palo Alto Networks steht die chinesichen Firma Bejing Yingmob Interactive Technology hinter der Entwicklung von YiSpecter. Drei der vier Malware-Komponenten sind mit Zertifikaten des Unternehmens signiert. Die Kommando-Server werden außerdem auf firmeneignenen Websites gehostet.
YiSpecter gelangt auf die Geräte auf unterschiedliche Weise. Nutzer werden bespielsweise über App-Promos in Sozialen Netzwerken zur Installation aufgefordert. Allerdings hat Palo Alto Networks auch herausgefunden, dass die Hacker offenbar Teile der Mobilfunkinfrastruktur bestimmter Anbieter kontrollieren und dadurch ohne Zutun der Anwender ein Hinweis-Fenster zur Installation auf den mit dem gekaperten Mobilfunknetz verbundenen Geräten einblenden können. Laut Analysen der Sicherheitsanbieter Qihoo 360 und Cheetah Mobile wurde für die Verteilung der Schadsoftware auch der sogenannte Lingdun-Wurm genutzt. Er befällt Windows-PCs unter Nutzung gefälschter Zertifikate von Symantec und VeriSign. Auch in sogenannten Untergrund-Sites fand sich die Malware. Die Anbieter werden pro Installation mit bis zu 0,4 Dollar belohnt.
Mit iOS 9 bringt Apple jetzt eine neue Version seines mobilen Betriebssystems, die konsequent sowohl den Workflow als auch den Schutz der Daten in den Unternehmen optimiert. Und iOS 9 stellt die nötigen Andockstellen für ein übergreifendes Enterprise-Mobility-Management-System bereit.
YiSpecter besteht aus vier Komponenten, die alle mit mit von Apple ausgestellten Zertifikaten signiert sind. Diese laden sich durch Missbrauch privater APIs von einem Command-and-Control-Server herunter und installieren sich. Drei der Komponenten verbergen ihre Icons vor der iOS-Benutzeroberfläche Springboard, damit es Benutzern schwerer fällt sie aufzuspüren suchen und zu löschen kann. Außerdem nutzen sie Namen und Logos von System-Apps.
Die von Apple ausgestellten Zertifikate erlauben die Installation von Apps außerhalb des App Stores. Diese Form der App-Distribution ist vor allem für Unternehmen und Entwickler wichtig. Erstere können einen Unternehmens-App-Shop einrichten, sodass Nutzer ohne Umweg über den offizellen App Store Anwendungen installieren können. Entwickler können Apps vor der Veröffentlichung testen und verbessern, bevor sie sie in den App Store einreichen.
Einmal auf einem Gerät installiert, kann YiSpecter weitere Apps herunterladen, installieren und starten. Außerdem kann die Malware Anwendungen durch von ihr heruntergeladene Apps ersetzen und die Ausführung anderer Apps behindern, um Werbung anzuzeigen. YiSpecter ist zudem in der Lage, in Safari die Standardsuchmaschine, Lesezeichen und geöffnete Seiten zu ändern und Geräteinformationen zu einem Server der Angreifer hochzuladen.
Bisher richten sich Angriffe mit der Malware YiSpecter vor allem gegen iOS-Nutzer in China und Taiwan. Diese wurden mit der Beschreibung “Private Version” oder “Version 5.0” des Mediaplayers QVOD zur Installation verleitet. Die von Kuaibo entwickelte App QVOD wurde in China bis 2014 von Nutzern zum Teilen von Porno-Videos verwendet. 2014 ging jedoch die Polizei gegen den Entwickler vor, dessen Videoabspieldienst wurde abgeschaltet. Die Hintermänner von YiSpecter begannen daraufhin ihre App als vermeintliche alternative zu QVOD anzubieten.
Wird YiSpecter manuell gelöscht, erscheint die Malware nach einem Neustart automatisch wieder. Anzeichen für eine Infektion sind zusätzliche „System-Apps“ auf dem Gerät, die mittels Tools von Drittanbietern erkannt werden können. Palo Alto Networks hat Signaturen veröffentlicht, um den Datenverkehr von YiSpecter zu blockieren. Außerdem gibt das Unternehmen Betroffenen Ratschläge, wie sie YiSpecter manuell entfernen können.
[mit Material von Peter Marwan, ITespresso]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…