Malware KeyRaider stiehlt Apple-Konten von 225.000 iOS-Nutzern
Laut Palo Alto Networks handelt es sich bei dem vom Marktplatzbetreiber WeipTech.org entdeckten Vorfall um den bisher größten, bekanntgewordenen, Diebstahl von Apple-Accounts durch Malware. Betroffen sind auch Nutzer aus Deutschland, Frankreich und Großbritannien. Die Malware wird überCydia-Repositorys an Geräte mit Jailbreak verteilt.
Die Sicherheitsexperten Palo Alto Networks und die Betriber des App-Marktplatzes von WeipTech haben gemeinsam 92 Proben einer neuen, frei zirkulierenden Familie von iOS-Malware identifiziert, die sie als KeyRaider bezeichnen. Der Name deutet auf den Hauptzweck der Malware hin: Sie hat bisher nachweislich 225.000 gültige Passwörter zu Apple-Konten eingesammelt. Laut Palo Alto ist das der größte, bisher bekannt gewordene, durch Malware bewerkstelligte Diebstahl von Apple-Account-Daten.
KeyRaider greift iOS-Geräte mit Jailbreak an. Die Malware wird über Drittanbieter-Cydia-Repositorys verbreitet. Insgesamt könnten laut Palo Alto Nutzer aus 18 Ländern betroffen sein, darunter auch aus Deutschland. Einige Opfer berichteten, dass ihre Apple-Konten eine ungewöhnliche App-Kaufhistorie aufwiesen, andere von verschlüsselten Smartphones, für deren Entschlüsselung sie ein Lösegeld zahlen sollen.
Laut Palo Alto Networks heftet sich die mit der App Utopia verbreitete Malware über MobileSubstrate an Systemprozesse und stiehlt dann Benutzernamen, Passwörter und Geräte-GUIDs von Apple-Konten, indem sie iTunes-Verkehr auf dem Gerät abfängt. KeyRaider hat so auch Zugriff auf Zertifikate und Private Keys des Apples Push-Benachrichtigungsdiensts, stiehlt und gibt AppStore-Bestellinformationen weiter und deaktiviert lokale sowie ferngesteuerte Entriegelungsfunktionen auf iPhones und iPads.
WeipTech.org kam der Malware auf die Spur, als die Experten von Benutzern gemeldete, verdächtige Tweaks für iOS untersuchten. Dabei fanden sie heraus, dass diese alle auf einem Server gespeichert waren. Ziel der Autoren der KeyRaider-Malware ist es, dass Benutzer von zwei iOS-Jailbreak-Tweaks Anwendungen aus dem offiziellen App Store herunterladen und In-App-Käufe tätigen können, ohne dafür bezahlen zu müssen.
Die beiden Tweaks kapern dazu App-Kauf-Anfragen, laden Daten gestohlener Konten oder Kaufbelege von ihrem Kommando-Server herunter und emulieren dann das iTunes-Protokoll, um sich am Apple-Server anzumelden und mit den gestohlenen Daten dann Apps oder andere von den Nutzern der Tweaks gewünschte Artikel zu kaufen. Die Tweaks sind über 20.000-mal heruntergeladen worden, was darauf hindeutet, dass derzeit auch ungefähr so viele Nutzer die 225.000 gestohlenen Anmeldedaten missbrauchen.
Palo Alto Networks empfiehlt allen Nutzern von iOS-Geräten, keinen Jailbreak durchzuführen. Keines der Cydia-Repositorys nehme derzeit strenge Sicherheitskontrollen für hochgeladene Apps oder Tweaks vor.
Loading ...