Erste Malware-Angriffe bei iOS-Geräten ohne Jailbreak erfolgreich

SicherheitVirus
Malware Trojaner Virus (Bild: Shutterstock/Blue Island)

Die von ihren Entdeckern beim Sicherheitsunternehmen Palo Alto Networks YiSpecter genannte Malware missbraucht private APIs im iOS-System. Zur Verbreitung nutzen die Hintermänner unter anderem Traffic-Hijacking, Offline-App-Installation und Community-Werbung. Im Apple App Store finden sich über 100 weitere Apps, die private APIs missbrauchen.

Experten des IT-Security-Unternehmens Palo Alto Networks haben auf eine von ihnen als YiSpecter bezeichnete Malware hingewiesen. Es handle sich dabei um die erste tatsächlich in Umlauf befindliche iOS-Malware die sowohl Geräte mit als auch ohne Jailbreak erfolgreich angreife. Dazu missbraucht sie private APIs. Diese Möglichkeit wurde Palo Alto Networks zufolge bisher von Sicherheitsexperten lediglich theoretisch diskutiert, sie sei nun aber erstmals in der Praxis für Angriffe genutzt worden.

Palo Alto Networks Logo (Bild: Palo Alto Networks)

Apple wurde bereits über die Malware informiert. Palo Alto Networks hat zudem in Apples App Store mehr als 100 Apps gefunden, die private APIs missbraucht haben, um die Code-Review von Apple zu umgehen. “Das heißt, die Angriffstechnik des Missbrauchs privater APIs kann auch separat verwendet werden und alle normalen iOS-Benutzer betreffen, die einfach nur Apps aus dem App Store herunterladen”, so das Sicherheitsunternehmen.

YiSpecter ist laut Palo Alto mindestens seit November 2014 aktiv. Die Malware verbreitet sich seitdem über ungewöhnliche Wege, die wohl bisher auch die Entdeckung verhindert haben. Zwar seien Symptome für YiSpecter-Infektionen auf iPhones schon in Online-Foren diskutiert und auch an Apple gemeldet worden, dennoch erkenne die Malware aktuell nur ein Anbieter von Sicherheitssoftware.

Auf infizierten Handys wird von YiSpecter in einigen Fällen, wenn der Benutzer eine normale App öffnet, eine Vollbild-Werbeanzeige dargestellt (Screenshot: Palo Alto Networks).
Auf infizierten Geräten wird von YiSpecter in einigen Fällen, wenn der Benutzer eine normale App öffnet, eine Vollbild-Werbeanzeige dargestellt (Screenshot: Palo Alto Networks).

YiSpecter besteht aus vier Komponenten, die alle mit Unternehmenszertifikaten signiert sind. Diese laden sich durch Missbrauch privater APIs von einem Command-and-Control-Server herunter und installieren sich. Drei der Komponenten verbergen ihre Icons vor iOS Springboard, damit es Benutzern schwerer fällt sie aufzuspüren suchen und zu löschen kann. Sie nutzen dazu den Namen und die Logos von System-Apps.

Einmal auf einem Gerät installiert, kann YiSpecter weitere Apps herunterladen, installieren und starten. Außerdem kann die Malware Anwendungen durch von ihr heruntergeladene Apps ersetzen und die Ausführung anderer Apps behindern, um Werbung anzuzeigen. YiSpecter ist zudem in der Lage, in Safari die Standardsuchmaschine, Lesezeichen und geöffnete Seiten zu ändern und Geräteinformationen zu einem Server der Angreifer hochzuladen.

Bisher richten sich Angriffe mit der Malware YiSpecter vor allem gegen iOS-Nutzer in China und Taiwan. Diese wurden mit der Beschreibung “Private Version” oder “Version 5.0” des Mediaplayers QVOD zur Installation verleitet. Die von Kuaibo entwickelte App QVOD wurde in China bis 2014 von Nutzern zum Teilen von Porno-Videos verwendet. 2014 ging jedoch die Polizei gegen den Entwickler vor, dessen Videoabspieldienst wurde abgeschaltet. Die Hintermänner von YiSpecter begannen daraufhin ihre App als vermeintliche alternative zu QVOD anzubieten.

Wird YiSpecter manuell gelöscht, erscheint die Malware nach einem Neustart automatisch wieder. Anzeichen für eine Infektion sind zusätzliche „System-Apps“ auf dem Gerät, die mittels Tools von Drittanbietern erkannt werden können. Palo Alto Networks hat Signaturen veröffentlicht, um den Datenverkehr von YiSpecter zu blockieren. Außerdem gibt das Unternehmen Betroffenen Ratschläge, wie sie YiSpecter manuell entfernen können.

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen