Malware auf iPhones: Malwarebytes analysiert den Angriff

Sicherheitsforscher haben einen neuen Malware-Angriff auf iPhones entdeckt. Dabei wurden Geräte bis zu zwei Jahre lang ausspioniert, nachdem mehrere häufig frequentierte Websites angriffen und für die Verteilung von iOS-Malware genutzt wurden. [...]

Es wird auch zukünftig immer Schwachstellen von iOS und Angriffe dagegen geben. Das extrem geschlossene System von iOS erschwert es den Apple-Nutzern auch, festzustellen, ob ein Gerät infiziert wurde. (c) synthex - stock.adobe.com

Sicherheitsforscher haben aufgedeckt, dass iPhones von Apple mehr als zwei Jahre lang ausspioniert wurden. Dabei wurden eine kleine Anzahl häufig frequentierter Websites angriffen und über einen Zeitraum von zwei Jahren für die Verteilung von iOS-Malware genutzt. Malwarebytes, Anbieter von Lösungen zur Vermeidung und Behebung von Malware-Bedrohungen, analysiert den Malware-Angriff und zeigt, wie man sich bestmöglich schützen kann.

iOS-Infektionen in der Vergangenheit

In der Vergangenheit war iOS immer wieder Ziel von Cyberangriffen. Die Schwierigkeit bei der Infektion eines iPhones besteht für Angreifer darin, dass eine Zero-Day-Schwachstelle benötigt wird, das heißt, dass die Sicherheitsverantwortlichen die Schwachstelle zum Zeitpunkt der Veröffentlichung nicht kennen. Solche Schwachstellen können auf dem freien Markt einen Wert von über einer Million US-Dollar übersteigen. iPhone-Infektionen zielen daher eher nicht auf Einzelpersonen ab.

Infektionsmechanismus

Laut einem Bericht eines Google-Sicherheitsforschers wurden die infizierten Websites mit zahlreichen Watering-Hole-Angriffen ins Visier genommen, wobei 14 verschiedene iOS-Schachstellen ausgenutzt wurden, die zu fünf verschiedenen Angriffsketten kombiniert wurden.

Eine Angriffskette ist eine Reihe von zwei oder mehreren Schwachstellen, die gemeinsam genutzt werden können, um ein bestimmtes Ziel zu erreichen, typischerweise eine Infektion eines Zielsystems. Denn meist reicht für eine erfolgreiche Infektion durch die Angreifer nicht eine Schwachstelle alleine aus, sondern nur eine Kombination von zwei oder mehreren.

Von den verwendeten Schwachstellen waren zum Entdeckungszeitpunkt nur noch zwei sogenannte Zero-Day-Schwachstellen (CVE-2019-7286 und CVE-2019-728) zu erkennen. Diese wurden von Apple in der iOS 12.1.4. Version vom 7. Februar 2019 behoben. Die restlichen 12 waren zum Zeitpunkt keine Zero-Day-Schwachstellen, das heißt sie sind bereits von Apple gepatcht worden. Die verschiedenen Angriffsketten waren in der Lage, Geräte mit iOS 10 bis iOS 12.1.3 mit einem entsprechend gleichen Implantat (iPhone-Malware) zu infizieren.

Verhalten des iPhone-Malware-Implantat

Das iPhone-Malware-Implantat, dem kein genauerer Name gegeben wurde, kann aus der iOS-Sandbox genommen und als Root ausgeführt werden, was im Wesentlichen bedeutet, dass die Sicherheitsmechanismen von iOS umgangen werden. Dabei kommuniziert das Implantat mit einem Command and Control (C&C) Server auf einer fest kodierten IP-Adresse über einfaches, verschlüsseltes HTTP. Zusätzlich zum Hochladen von Daten auf den Server kann es auch eine Reihe von Befehlen vom Server empfangen.

Die Liste von Befehlen zeigt besorgniserregende Fähigkeiten. Unter anderem ist die iPhone-Malware in der Lage, Fotos, SMS-Nachrichten, E-Mail-Nachrichten, Kontakte oder Notizen zu stehlen. Zusätzlich kann die vollständige Anrufhistorie oder die Geräteposition in Echtzeit abgerufen werden.

Es beinhaltet auch die Möglichkeit, die unverschlüsselten Chat-Transkripte von einer Reihe von wichtigen End-to-End-Clients für verschlüsseltes Messaging, einschließlich Whatsapp und Telegram, zu erhalten. Doch damit nicht genug: Bei einer Infizierung, werden verschlüsselte Nachrichten nicht nur von den Angreifern selbst gesammelt, sondern auch im Klartext über das Internet übertragen.

Welche Maßnahmen sollten jetzt ergriffen werden?

Zunächst ist weiterhin unklar, welche Websites betroffen waren. Es ist unmöglich nachzuvollziehen, wer mit dieser mysteriösen iPhone Malware infiziert sein könnte. Glücklicherweise gibt es aber an dieser Stelle kein Grund zur Panik: Die Schwachstellen sind seit geraumer Zeit bereits gepatcht. Das Implantat ist nicht in der Lage, nach einem Neustart persistent zu bleiben. Das bedeutet, jedes Mal, wenn ein infiziertes iPhone neu gestartet wird – z.B. wenn ein iOS-Update installiert wird – wird das Implantat entfernt. Natürlich kann ein anfälliges Gerät aber immer wieder neu durch eine Schwachstelle infiziert werden.

Aus diesem Grund ist jedes Gerät mit iOS 12.1.4 nicht nur immun gegen diese speziellen Angriffe, sondern kann auch nicht mehr infiziert werden, da der Neustart bei der Installation von 12.1.4 (oder höher) erfolgt. Es ist unwahrscheinlich, dass zu diesem Zeitpunkt noch jemand infiziert ist, es sei denn, dem Gerät fehlt ein iOS-Update oder das Gerät wurde nie neu gestartet. Ein Update mit der neusten iOS-Version sorgt somit garantiert für Sicherheit.

Außerdem gibt es einen einfachen Test, um herauszufinden, ob ein Gerät mit der Malware infiziert ist: Das betroffene Gerät über ein Kabel an einen Mac anschließen. Konsolenanwendung auf dem Mac öffnen. In der Konsole das iPhone in der Liste der Geräte auswählen. An dieser Stelle werden die Protokollmeldungen vom iOS-Gerät angezeigt. Obwohl die Konsole keine früheren Nachrichten anzeigt, sollte ein infiziertes iOS-Gerät, Nachrichten mit bestimmten Codes wie „uploadDevice“, „postFile success“ und „timer trig“ aufzeigen. Eine vollständige Liste der möglichen Strings, nach denen gesucht werden kann, findet sich hier.

Wer war vom Angriff betroffen?

An dieser Stelle ist es unmöglich zu wissen, wer verantwortlich ist oder wer infiziert wurde, ohne weitere Informationen, wie z.B. die Namen der betroffenen Websites.
Das lässt natürlich Raum für Interpretationen. Es scheint als gesichert, dass die Malware nicht auf Einzelpersonen abzielte. Das bedeutet jedoch nicht unbedingt, dass der Angriff nicht auf eine bestimmte Gruppe von Personen ausgerichtet war, die wahrscheinlich die gehackten Seiten besuchen würden. Das ist in der Tat die typische Vorgehensweise bei einem Watering Hole-Angriff: Eine Website, die wahrscheinlich von der Zielgruppe besucht wird, wird angegriffen und zur Verbreitung von Malware genutzt. So etwas geschah bereits im Jahr 2013, als Angreifer eine Entwickler-Website mit einem Java-basierten Exploit kompromittierten und Entwickler aus vielen großen Unternehmen, darunter Apple, mit der Malware OSX.Pintsized infizierten.

Zukunftsaussicht

Obwohl die akute Bedrohung vorüber ist, hat der Angriff eine neue Dimension gezeigt, die in dieser Form allerdings immer von Sicherheitsforschern für möglich gehalten wurde und jetzt Realität ist. Es wird auch zukünftig immer Schwachstellen von iOS und Angriffe dagegen geben. Das extrem geschlossene System von iOS erschwert es den Apple-Nutzern auch, festzustellen, ob ein Gerät infiziert wurde. Obwohl Apple keine Antivirensoftware unter iOS zulässt, muss es für Benutzer zukünftig Möglichkeiten geben, ihre Geräte auf Infektionen zu überprüfen. Wenn so etwas mögliche wäre, wäre dieser Angriff auf iPhones wahrscheinlich nicht über zwei Jahre unentdeckt geblieben.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*