Malware auf iPhones: Malwarebytes analysiert den Angriff

Sicherheitsforscher haben einen neuen Malware-Angriff auf iPhones entdeckt. Dabei wurden Geräte bis zu zwei Jahre lang ausspioniert, nachdem mehrere häufig frequentierte Websites angriffen und für die Verteilung von iOS-Malware genutzt wurden. [...]

Es wird auch zukünftig immer Schwachstellen von iOS und Angriffe dagegen geben. Das extrem geschlossene System von iOS erschwert es den Apple-Nutzern auch, festzustellen, ob ein Gerät infiziert wurde. (c) synthex - stock.adobe.com

Sicherheitsforscher haben aufgedeckt, dass iPhones von Apple mehr als zwei Jahre lang ausspioniert wurden. Dabei wurden eine kleine Anzahl häufig frequentierter Websites angriffen und über einen Zeitraum von zwei Jahren für die Verteilung von iOS-Malware genutzt. Malwarebytes, Anbieter von Lösungen zur Vermeidung und Behebung von Malware-Bedrohungen, analysiert den Malware-Angriff und zeigt, wie man sich bestmöglich schützen kann.

iOS-Infektionen in der Vergangenheit

In der Vergangenheit war iOS immer wieder Ziel von Cyberangriffen. Die Schwierigkeit bei der Infektion eines iPhones besteht für Angreifer darin, dass eine Zero-Day-Schwachstelle benötigt wird, das heißt, dass die Sicherheitsverantwortlichen die Schwachstelle zum Zeitpunkt der Veröffentlichung nicht kennen. Solche Schwachstellen können auf dem freien Markt einen Wert von über einer Million US-Dollar übersteigen. iPhone-Infektionen zielen daher eher nicht auf Einzelpersonen ab.

Infektionsmechanismus

Laut einem Bericht eines Google-Sicherheitsforschers wurden die infizierten Websites mit zahlreichen Watering-Hole-Angriffen ins Visier genommen, wobei 14 verschiedene iOS-Schachstellen ausgenutzt wurden, die zu fünf verschiedenen Angriffsketten kombiniert wurden.

Eine Angriffskette ist eine Reihe von zwei oder mehreren Schwachstellen, die gemeinsam genutzt werden können, um ein bestimmtes Ziel zu erreichen, typischerweise eine Infektion eines Zielsystems. Denn meist reicht für eine erfolgreiche Infektion durch die Angreifer nicht eine Schwachstelle alleine aus, sondern nur eine Kombination von zwei oder mehreren.

Von den verwendeten Schwachstellen waren zum Entdeckungszeitpunkt nur noch zwei sogenannte Zero-Day-Schwachstellen (CVE-2019-7286 und CVE-2019-728) zu erkennen. Diese wurden von Apple in der iOS 12.1.4. Version vom 7. Februar 2019 behoben. Die restlichen 12 waren zum Zeitpunkt keine Zero-Day-Schwachstellen, das heißt sie sind bereits von Apple gepatcht worden. Die verschiedenen Angriffsketten waren in der Lage, Geräte mit iOS 10 bis iOS 12.1.3 mit einem entsprechend gleichen Implantat (iPhone-Malware) zu infizieren.

Verhalten des iPhone-Malware-Implantat

Das iPhone-Malware-Implantat, dem kein genauerer Name gegeben wurde, kann aus der iOS-Sandbox genommen und als Root ausgeführt werden, was im Wesentlichen bedeutet, dass die Sicherheitsmechanismen von iOS umgangen werden. Dabei kommuniziert das Implantat mit einem Command and Control (C&C) Server auf einer fest kodierten IP-Adresse über einfaches, verschlüsseltes HTTP. Zusätzlich zum Hochladen von Daten auf den Server kann es auch eine Reihe von Befehlen vom Server empfangen.

Die Liste von Befehlen zeigt besorgniserregende Fähigkeiten. Unter anderem ist die iPhone-Malware in der Lage, Fotos, SMS-Nachrichten, E-Mail-Nachrichten, Kontakte oder Notizen zu stehlen. Zusätzlich kann die vollständige Anrufhistorie oder die Geräteposition in Echtzeit abgerufen werden.

Es beinhaltet auch die Möglichkeit, die unverschlüsselten Chat-Transkripte von einer Reihe von wichtigen End-to-End-Clients für verschlüsseltes Messaging, einschließlich Whatsapp und Telegram, zu erhalten. Doch damit nicht genug: Bei einer Infizierung, werden verschlüsselte Nachrichten nicht nur von den Angreifern selbst gesammelt, sondern auch im Klartext über das Internet übertragen.

Welche Maßnahmen sollten jetzt ergriffen werden?

Zunächst ist weiterhin unklar, welche Websites betroffen waren. Es ist unmöglich nachzuvollziehen, wer mit dieser mysteriösen iPhone Malware infiziert sein könnte. Glücklicherweise gibt es aber an dieser Stelle kein Grund zur Panik: Die Schwachstellen sind seit geraumer Zeit bereits gepatcht. Das Implantat ist nicht in der Lage, nach einem Neustart persistent zu bleiben. Das bedeutet, jedes Mal, wenn ein infiziertes iPhone neu gestartet wird – z.B. wenn ein iOS-Update installiert wird – wird das Implantat entfernt. Natürlich kann ein anfälliges Gerät aber immer wieder neu durch eine Schwachstelle infiziert werden.

Aus diesem Grund ist jedes Gerät mit iOS 12.1.4 nicht nur immun gegen diese speziellen Angriffe, sondern kann auch nicht mehr infiziert werden, da der Neustart bei der Installation von 12.1.4 (oder höher) erfolgt. Es ist unwahrscheinlich, dass zu diesem Zeitpunkt noch jemand infiziert ist, es sei denn, dem Gerät fehlt ein iOS-Update oder das Gerät wurde nie neu gestartet. Ein Update mit der neusten iOS-Version sorgt somit garantiert für Sicherheit.

Außerdem gibt es einen einfachen Test, um herauszufinden, ob ein Gerät mit der Malware infiziert ist: Das betroffene Gerät über ein Kabel an einen Mac anschließen. Konsolenanwendung auf dem Mac öffnen. In der Konsole das iPhone in der Liste der Geräte auswählen. An dieser Stelle werden die Protokollmeldungen vom iOS-Gerät angezeigt. Obwohl die Konsole keine früheren Nachrichten anzeigt, sollte ein infiziertes iOS-Gerät, Nachrichten mit bestimmten Codes wie „uploadDevice“, „postFile success“ und „timer trig“ aufzeigen. Eine vollständige Liste der möglichen Strings, nach denen gesucht werden kann, findet sich hier.

Wer war vom Angriff betroffen?

An dieser Stelle ist es unmöglich zu wissen, wer verantwortlich ist oder wer infiziert wurde, ohne weitere Informationen, wie z.B. die Namen der betroffenen Websites.
Das lässt natürlich Raum für Interpretationen. Es scheint als gesichert, dass die Malware nicht auf Einzelpersonen abzielte. Das bedeutet jedoch nicht unbedingt, dass der Angriff nicht auf eine bestimmte Gruppe von Personen ausgerichtet war, die wahrscheinlich die gehackten Seiten besuchen würden. Das ist in der Tat die typische Vorgehensweise bei einem Watering Hole-Angriff: Eine Website, die wahrscheinlich von der Zielgruppe besucht wird, wird angegriffen und zur Verbreitung von Malware genutzt. So etwas geschah bereits im Jahr 2013, als Angreifer eine Entwickler-Website mit einem Java-basierten Exploit kompromittierten und Entwickler aus vielen großen Unternehmen, darunter Apple, mit der Malware OSX.Pintsized infizierten.

Zukunftsaussicht

Obwohl die akute Bedrohung vorüber ist, hat der Angriff eine neue Dimension gezeigt, die in dieser Form allerdings immer von Sicherheitsforschern für möglich gehalten wurde und jetzt Realität ist. Es wird auch zukünftig immer Schwachstellen von iOS und Angriffe dagegen geben. Das extrem geschlossene System von iOS erschwert es den Apple-Nutzern auch, festzustellen, ob ein Gerät infiziert wurde. Obwohl Apple keine Antivirensoftware unter iOS zulässt, muss es für Benutzer zukünftig Möglichkeiten geben, ihre Geräte auf Infektionen zu überprüfen. Wenn so etwas mögliche wäre, wäre dieser Angriff auf iPhones wahrscheinlich nicht über zwei Jahre unentdeckt geblieben.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*