Eine neue Malware-Familie befällt iOS-Geräte mit oder ohne Jailbreak – derzeit jedoch vorrangig in Asien. WireLurker macht dazu den Umweg über USB und OS X oder Windows. [...]
Palo Alto Networks hat eine neue Familie von Apple OS-X- und iOS-Malware identifiziert – mit Charakteristiken, die von allen bisher dokumentierten Bedrohungen gegen Apple-Plattformen abweichen. Sie kann Geräte mit oder auch ohne Jailbreak, also sowohl nicht-„gehackte“ als auch „gehackte“ iOS-Geräte, angreifen. Die erfolgreichere Variante des Virus greift dazu von einem OS-X-System aus an, es wurde mittlerweile aber auch eine – offenbar ältere – Windows-Variante gefunden.
WireLurker ist laut Palo Alto Networks unter anderem durch folgende Merkmale charakterisiert:
- Die erste bekannte Malware-Familie, die installierte iOS-Anwendungen ähnlich wie ein traditionelles Virus infizieren kann.
- Die erste Malware-Familie in freier Wildbahn, die Drittanbieter-Anwendungen auf nicht-gehackten iOS-Geräten durch Enterprise Provisioning installieren kann.
- Erst die zweite bekannte Malware-Familie, die iOS-Geräte über OS X via USB-Schnittstelle angreifen kann.
- Die erste Malware-Familie, die in der Lage ist, die Generierung schädlicher iOS-Anwendungen durch Binärdateiaustausch zu automatisieren.
Die WireLurker Malware wurde von Claud Xiao von Unit 42, dem Threat Intelligence Team von Palo Alto Networks, enttarnt und wird in dem Bericht WireLurker: A New Era in OS X and iOS Malware detailliert dargestellt. „WireLurker ist anders als alles, das wir je in Bezug auf Apple iOS- und OS X-Malware gesehen haben. Die im Einsatz befindlichen Techniken zeigen, dass die Übeltäter immer ausgefeilter agieren, um zwei der weltweit bekanntesten Desktop- und Mobil-Plattformen anzugreifen. Wir haben unseren Kunden vollen Schutz zur Verfügung gestellt und einen ausführlichen Bericht veröffentlicht, damit auch andere Nutzer das Risiko beurteilen und geeignete Maßnahmen treffen können, um sich zu schützen“, kommentierte Ryan Olson, Intelligence Director der Unit 42 bei Palo Alto Networks.
Einmal auf dem iOS-Gerät angelangt kann WireLurker außerdem auf persönliche Daten, unter anderem Serien- und Telefonnummer oder Daten aus dem iTunes-Store, zugreifen. Bei Geräten mit einem Jailbreak wird die Gefahr noch größer, dann sind beispielsweise auch das Adressbuch oder die iMessage-Datenbank dran.
GEFAHR AUCH DURCH WINDOWS
Malware-Experten, die mit Palo Alto Networks kooperieren, haben außerdem eine weitere Variante von WireLurker als ausführbare Windows-Datei entdeckt. Die Windows-Datei, die die gleiche Command&Control-Server-Adresse der zuvor identifizierten OS-X-Variante von WireLurker aufwies, wurde ebenfalls im Forschungszentrum von Palo Alto Networks analysiert. Dabei stellte sich heraus, dass es sich scheinbar um eine ältere Version von WireLurker handelt, die von einer anderen Quelle aus China verbreitet wird. Die Windows-Variante kann ebenfalls iOS-Nutzer infizieren, scheint aber nicht so effektiv zu sein wie die OS-X-Variante von WireLurker.
Einige Details deuteten bislang darauf hin, dass der Ursprung von WireLurker mit dem Maiyadi App Store in Zusammenhang stehen könnte, doch die neu aufgedeckten Samples wurden auf Baidu YunPan, einen öffentlicher Cloud-Storage-Service, hochgeladen. Dort werden 180 ausführbare Windows-Dateien und 67 OS-X-Anwendungen vorgehalten, von denen jede eine Version des Trojaners WireLurker enthält. Palo Alto Networks hat diese Dateien heruntergeladen und bestätigt, dass alle zu einer neuen Variante von WireLurker gehören und als Trojaner-Malware zu klassifizieren sind.
Die ältere WireLurker-Variante öffnet eine Benutzeroberfläche, von der aus Raubkopien von iOS-Apps angeboten werden. Einige der iOS-Apps sind sehr gefragt, während es sich bei anderen um bereits vorinstallierte Apps auf iOS handelt. Zu den angebotenen Apps zählen Facebook, WhatsApp Messenger, Twitter, Instagram, Minecraft, Flappy Bird, Bible, GarageBand, Calculator, Keynote, iPhoto, Find My iPhone, iMovie und iBooks. Seit 13. März wurden diese Apps bereits über 65.000 Mal heruntergeladen, davon 97,7 Prozent als Windows-Version. Wie die neueste WireLurker-Variante, versucht auch diese Variante gehackte iOS-Geräte mit der WireLurker-iOS-Malware zu infizieren. Nachdem die Benutzer die heruntergeladenen Dateien unter Windows ausführen, erscheint eine weitere GUI. Wenn auf dem Windows-System iTunes nicht installiert ist, führt die Malware den Anwender zu einer offiziellen Website von Apple China, wo iTunes heruntergeladen und installiert werden kann.
Kevin Mahaffey, Gründer von Lookout und Experte für mobile Sicherheit, hat den von seinen Branchenkollegen entdeckten Malware-Angriff ebenfalls kommentiert: „Das Erstaunliche an dieser Malware ist, dass sie einen PC befallen hat, um Zugriff auf ein mobiles Gerät zu erhalten – und nicht, um dem PC selbst zu schaden. Das ist ein weiteres Zeichen, wie die Bedeutung von mobilen Geräten wächst.“ Außerdem sieht er die Malware-Gefahr für das Apple-Ökosystem wachsen: „Hacker haben sich in Asien und Europa bislang auf Android-Systeme konzentriert, schließlich war dieses System hier am meisten verbreitet. Doch jetzt, da die Zahl der iOS-Geräte gestiegen ist – gerade in Regionen, wo Malware häufig entsteht –, sind auch iPhones und iPads zu einem beliebten Ziel für Malware-Attacken geworden.“
Apple hat mittlerweile auch selbst auf die Bedrohung reagiert und hindert infizierte Anwendungen mittels seiner XProtect-Technik an der Ausführung. Den Angaben, die Apple verschiedenen US-Medien gegenüber gemacht hat, zufolge, wurden mehrere hundert Programme blockiert, die Macs in China angegriffen haben. Da der Schädling nur ausgeführt werden kann, wenn der User das Starten unsignierter Apps erlaubt (die Virusmacher haben kein gültiges Zertifikat von Apple), gilt auch hier der folgende, für alle (mobilen) Systeme gültige, Ratschlag: Niemals Apps aus dubiosen Quellen installieren. (pi/rnf)
Be the first to comment