2130051

Yispecter: Neue iOS-Malware in China entdeckt

05.10.2015 | 10:42 Uhr |

Die Sicherheitsforscher von Palo Alto Networks haben eine neue iOS-Malware in China entdeckt, die offenbar unerwünschte Werbung verbreitet.

Yispecter haben die Sicherheitsforscher die neue Malware genannt, diese verbreitet sich in China und Taiwan . Im Unterschied zu dem bereits bekannten XcodeGhost sind keine Apps im offiziellen App Store betroffen, denn die Entwickler der Malware setzen auf einige kreative Verbreitungstechniken des Schadcodes.

Was der Schadcode anstellt

Der Yispecter ist sehr hartnäckig, einmal auf dem iPhone installiert. Zum einen sammelt der Code vom iPhone die nachfolgenden Informationen: Die UDID des Geräts, die MAC-Adresse, aus den Systemfiles die Liste der bereits installierten Apps und die Liste der laufenden Prozessen auf dem iOS-Gerät. Diese Infos schickt der Code an einen Command-and-Control-Server. Die gefälschten Apps werden über die sogenannte " In-House-Distribution " verbreitet. Das heißt, ein Unternehmen verschickt die Installationsdaten – Provisioning Profiles – unterzeichnet mit den Sicherheitszertifikaten von Apple. Diese Dateien stellen sicher, dass die App vom richtigen Entwickler stammt und so die Installation außerhalb vom App Store erlaubt. Dieses Verhalten nutzen nun die Entwickler von Yispecter. Einmal installiert, kann die Appsohne Nutzerzutun auch andere Apps installieren. Mehr noch, die Schadsoftware durchsucht die Liste der bereits installierten Apps, kann diese deinstallieren und an deren Stelle die gefälschten Kopien herunterladen. Auch kann sich der Yispecter als Systemapp wie "Game Center" oder "Passbook" (der Name der "Wallet"-App bis iOS 8) tarnen. Die Apps aus dieser Familie können nicht nur als andere Apps auftreten, sondern ganz unsichtbar für den Nutzer sein, denn nach der Installation löscht die App ihr eigenes App-Icon auf dem Bildschirm. Ohne Hilfsmittel kann man sie nun nicht mehr finden und deinstallieren. Die Malware-App installiert noch einen zusätzlichen Updater, er verbindet sich regelmäßig mit dem Server und lädt Updates herunter. Auch prüft der Code, ob die Haupt-App läuft und startet sie automatisch neu, falls nicht.

Wozu wird der Schad-Code verbreitet

Die Forscher von Palo Alto Networks haben offenbar herausgefunden, wer hinter den Schadcode-Apps steckt. In einer der Apps gab es eine Readme-Datei, die als Urheber ein chinesisches Unternehmen Yingmob Interaction benennt. Mehrere verbreitete Apps waren noch mit dem Sicherheitszertifikat der Firma unterzeichnet. Auch fast alle Domains, die die Malware-Apps ansprachen, gehörten Yingmob Interaciton. Die Firma ist ein chinesischer Mobilvermarkter, sprich die Werbung wird auf den infizierten Geräten abgespielt. Dazu vertreibt Yingmob Interaction eigene Software, die angeblich die Apps ohne App Store installieren soll. Die Yispecter-Malware auf dem iPhone blendete nach Nutzer-Berichten ab und zu mal den Download-Link zu dieser Software.

Wie sich der Schad-Code installiert

Zunächst eine Entwarnung: Keine der Apps im offiziellen App Store ist mit dem Schadcode infiziert. Die Malware wurde auf der herkömmlichen Art und Weise über Download-Links verbreitet, wobei der Nutzer aktiv der Installation auf dem iPhone zustimme muss. Aber auch andere, unbemerkte, Methoden wurden angewendet. Offenbar haben die Malware-Entwickler eine Abstimmung mit einigen Internetdienstleistern getroffen, sprich, der Dienstleister schaltet sich im Datenverkehr des Nutzers ein und zeigt ihm das Download-Fenster mit der Schadsoftware. Auch hat das Unternehmen die Service-Mitarbeiter in den Geschäften und in Reparatur-Stellen dafür bezahlt, Apps auf Kunden-iPhones zu installieren. Hierzu haben die Forscher die Einträge in den einschlägigen chinesischen Foren gefunden.

Sind deutsche iOS-Nutzer betroffen?

Soweit wir dies abschätzen können, ist die Malware auf China und Taiwan beschränkt. Hierzu kommt noch, dass die Schadcode-Apps auf den inoffiziellen Wege – über Provisioning Profiles, über Internetdienstleister und Mitarbeiter in den Geschäften – installiert wurden. Das heißt, keine der Apps im offiziellen Store ist davon betroffen. Dazu sind alle Beispiel-Apps im Yispecter-Bericht von Palo Alto Networks auf Chinesisch lokalisiert. Für die deutschen Nutzer mindert sich hiermit die Gefahr von Social Engineering. Wer auf Nummer sicher gehen will, soll die vorhandenen Profile in der Einstellungen-App überprüfen. Diese finden sich unter Einstellungen - Allgemein - Profil. Außerdem stellen die Forscher ein paar mehr Tools für alle Betroffenen auf eigener Webseite bereit.

0 Kommentare zu diesem Artikel
2130051