Malware auf iPhones: Malwarebytes analysiert den Angriff

Sicherheitsforscher haben einen neuen Malware-Angriff auf iPhones entdeckt. Dabei wurden Geräte bis zu zwei Jahre lang ausspioniert, nachdem mehrere häufig frequentierte Websites angriffen und für die Verteilung von iOS-Malware genutzt wurden. [...]

Sicherheitsforscher haben aufgedeckt, dass iPhones von Apple mehr als zwei Jahre lang ausspioniert wurden. Dabei wurden eine kleine Anzahl häufig frequentierter Websites angriffen und über einen Zeitraum von zwei Jahren für die Verteilung von iOS-Malware genutzt. Malwarebytes, Anbieter von Lösungen zur Vermeidung und Behebung von Malware-Bedrohungen, analysiert den Malware-Angriff und zeigt, wie man sich bestmöglich schützen kann.

iOS-Infektionen in der Vergangenheit

In der Vergangenheit war iOS immer wieder Ziel von Cyberangriffen. Die Schwierigkeit bei der Infektion eines iPhones besteht für Angreifer darin, dass eine Zero-Day-Schwachstelle benötigt wird, das heißt, dass die Sicherheitsverantwortlichen die Schwachstelle zum Zeitpunkt der Veröffentlichung nicht kennen. Solche Schwachstellen können auf dem freien Markt einen Wert von über einer Million US-Dollar übersteigen. iPhone-Infektionen zielen daher eher nicht auf Einzelpersonen ab.

Infektionsmechanismus

Laut einem Bericht eines Google-Sicherheitsforschers wurden die infizierten Websites mit zahlreichen Watering-Hole-Angriffen ins Visier genommen, wobei 14 verschiedene iOS-Schachstellen ausgenutzt wurden, die zu fünf verschiedenen Angriffsketten kombiniert wurden.

Eine Angriffskette ist eine Reihe von zwei oder mehreren Schwachstellen, die gemeinsam genutzt werden können, um ein bestimmtes Ziel zu erreichen, typischerweise eine Infektion eines Zielsystems. Denn meist reicht für eine erfolgreiche Infektion durch die Angreifer nicht eine Schwachstelle alleine aus, sondern nur eine Kombination von zwei oder mehreren.

Von den verwendeten Schwachstellen waren zum Entdeckungszeitpunkt nur noch zwei sogenannte Zero-Day-Schwachstellen (CVE-2019-7286 und CVE-2019-728) zu erkennen. Diese wurden von Apple in der iOS 12.1.4. Version vom 7. Februar 2019 behoben. Die restlichen 12 waren zum Zeitpunkt keine Zero-Day-Schwachstellen, das heißt sie sind bereits von Apple gepatcht worden. Die verschiedenen Angriffsketten waren in der Lage, Geräte mit iOS 10 bis iOS 12.1.3 mit einem entsprechend gleichen Implantat (iPhone-Malware) zu infizieren.

Verhalten des iPhone-Malware-Implantat

Das iPhone-Malware-Implantat, dem kein genauerer Name gegeben wurde, kann aus der iOS-Sandbox genommen und als Root ausgeführt werden, was im Wesentlichen bedeutet, dass die Sicherheitsmechanismen von iOS umgangen werden. Dabei kommuniziert das Implantat mit einem Command and Control (C&C) Server auf einer fest kodierten IP-Adresse über einfaches, verschlüsseltes HTTP. Zusätzlich zum Hochladen von Daten auf den Server kann es auch eine Reihe von Befehlen vom Server empfangen.

Die Liste von Befehlen zeigt besorgniserregende Fähigkeiten. Unter anderem ist die iPhone-Malware in der Lage, Fotos, SMS-Nachrichten, E-Mail-Nachrichten, Kontakte oder Notizen zu stehlen. Zusätzlich kann die vollständige Anrufhistorie oder die Geräteposition in Echtzeit abgerufen werden.

Es beinhaltet auch die Möglichkeit, die unverschlüsselten Chat-Transkripte von einer Reihe von wichtigen End-to-End-Clients für verschlüsseltes Messaging, einschließlich Whatsapp und Telegram, zu erhalten. Doch damit nicht genug: Bei einer Infizierung, werden verschlüsselte Nachrichten nicht nur von den Angreifern selbst gesammelt, sondern auch im Klartext über das Internet übertragen.

Welche Maßnahmen sollten jetzt ergriffen werden?

Zunächst ist weiterhin unklar, welche Websites betroffen waren. Es ist unmöglich nachzuvollziehen, wer mit dieser mysteriösen iPhone Malware infiziert sein könnte. Glücklicherweise gibt es aber an dieser Stelle kein Grund zur Panik: Die Schwachstellen sind seit geraumer Zeit bereits gepatcht. Das Implantat ist nicht in der Lage, nach einem Neustart persistent zu bleiben. Das bedeutet, jedes Mal, wenn ein infiziertes iPhone neu gestartet wird – z.B. wenn ein iOS-Update installiert wird – wird das Implantat entfernt. Natürlich kann ein anfälliges Gerät aber immer wieder neu durch eine Schwachstelle infiziert werden.

Aus diesem Grund ist jedes Gerät mit iOS 12.1.4 nicht nur immun gegen diese speziellen Angriffe, sondern kann auch nicht mehr infiziert werden, da der Neustart bei der Installation von 12.1.4 (oder höher) erfolgt. Es ist unwahrscheinlich, dass zu diesem Zeitpunkt noch jemand infiziert ist, es sei denn, dem Gerät fehlt ein iOS-Update oder das Gerät wurde nie neu gestartet. Ein Update mit der neusten iOS-Version sorgt somit garantiert für Sicherheit.

Außerdem gibt es einen einfachen Test, um herauszufinden, ob ein Gerät mit der Malware infiziert ist: Das betroffene Gerät über ein Kabel an einen Mac anschließen. Konsolenanwendung auf dem Mac öffnen. In der Konsole das iPhone in der Liste der Geräte auswählen. An dieser Stelle werden die Protokollmeldungen vom iOS-Gerät angezeigt. Obwohl die Konsole keine früheren Nachrichten anzeigt, sollte ein infiziertes iOS-Gerät, Nachrichten mit bestimmten Codes wie „uploadDevice“, „postFile success“ und „timer trig“ aufzeigen. Eine vollständige Liste der möglichen Strings, nach denen gesucht werden kann, findet sich hier.

Wer war vom Angriff betroffen?

An dieser Stelle ist es unmöglich zu wissen, wer verantwortlich ist oder wer infiziert wurde, ohne weitere Informationen, wie z.B. die Namen der betroffenen Websites.
Das lässt natürlich Raum für Interpretationen. Es scheint als gesichert, dass die Malware nicht auf Einzelpersonen abzielte. Das bedeutet jedoch nicht unbedingt, dass der Angriff nicht auf eine bestimmte Gruppe von Personen ausgerichtet war, die wahrscheinlich die gehackten Seiten besuchen würden. Das ist in der Tat die typische Vorgehensweise bei einem Watering Hole-Angriff: Eine Website, die wahrscheinlich von der Zielgruppe besucht wird, wird angegriffen und zur Verbreitung von Malware genutzt. So etwas geschah bereits im Jahr 2013, als Angreifer eine Entwickler-Website mit einem Java-basierten Exploit kompromittierten und Entwickler aus vielen großen Unternehmen, darunter Apple, mit der Malware OSX.Pintsized infizierten.

Zukunftsaussicht

Obwohl die akute Bedrohung vorüber ist, hat der Angriff eine neue Dimension gezeigt, die in dieser Form allerdings immer von Sicherheitsforschern für möglich gehalten wurde und jetzt Realität ist. Es wird auch zukünftig immer Schwachstellen von iOS und Angriffe dagegen geben. Das extrem geschlossene System von iOS erschwert es den Apple-Nutzern auch, festzustellen, ob ein Gerät infiziert wurde. Obwohl Apple keine Antivirensoftware unter iOS zulässt, muss es für Benutzer zukünftig Möglichkeiten geben, ihre Geräte auf Infektionen zu überprüfen. Wenn so etwas mögliche wäre, wäre dieser Angriff auf iPhones wahrscheinlich nicht über zwei Jahre unentdeckt geblieben.