iOS-Trojaner lässt iPhones und iPads abstürzen

Trend Micro warnt vor einem neuen Trojaner für iOS, der seit Ende November 2016 überwiegend über Soziale Medien wie Twitter und Youtube sowie in Japan verbreitet wird. Die YJSNPI genannte Malware installiert ein schädliches Profil auf iOS-Geräten, das diese unbrauchbar macht und abstürzen lässt.

Verteilt werden die unsignierten Profile über speziell präparierte Websites – die ihre Besucher über Twitter- und Youtube-Links erhalten. Vor allem der Apple-Browser Safari kann per JavaScript dazu gebracht werden, beim Aufruf der Seite ein schädliches Profil automatisch herunterzuladen.

Profil-Dateien erlauben es Entwicklern und Administratoren verschiedene Geräte- und iOS-Einstellungen anzupassen, beispielsweise für die Konfiguration von Netzwerken und VPNs, E-Mail-Konten und WLAN oder auch für die Nutzung von Zertifikaten. Laut Trend Micro ist es aber auch möglich, mithilfe eines schädlichen Profils Datenverkehr umzuleiten.

YJSNPI wiederum platziert ein App-Symbol auf dem Startbildschirm, das andere Symbole überlagert. Wird dieses Symbol angeklickt, füllt der Trojaner den Startbildschirm mit weiteren Symbolen, bis der dafür zuständige Betriebssystem-Prozess Springboard überlastet wird und das Gerät einfriert. Die zusätzlichen Symbole lassen sich ebenfalls anklicken, wodurch allerdings nur ein größeres Bild des Symbols angezeigt wird.

Die Installation des Profils erfolgt allerdings nur mit ausdrücklicher Zustimmung des Nutzers. Da das Profil nicht signiert ist, muss ein Opfer zuerst eine Warnmeldung bestätigen. Erst danach kann der Trojaner seine Arbeit aufnehmen und sein Icon über anderen Symbolen des Startbildschirms einblenden.

Die Sicherheitsforscher weisen zudem darauf hin, dass sich die Schadsoftware mit dem von Apple angebotenen Tool Apple Configurator 2 entfernen lässt. Allerdings ist die Anwendung nur für Macs verfügbar. Außerdem muss das schädliche Profil – sprich der Trojaner – ausgeführt werden, damit es in Apple Configurator 2 angezeigt wird. Andernfalls muss ein befallenes iPhone oder iPad auf die Werkseinstellungen zurückgesetzt werden, wobei nicht gesicherte Daten verlorengehen.

Trend Micro geht davon aus, dass Cyberkriminelle künftig auch in anderen Ländern und Regionen schädliche Profil-Dateien gegen iOS-Geräte einsetzen werden. Die Motive der Hintermänner seien bisher jedoch unklar. Trend Micro vermutet einen bösen Streich oder Hacker, die ihren Bekanntheitsgrad steigern wollen.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.