Palo Alto enttarnt neue iOS und OS X Malware

UPDATE 07.11.14
Palo Alto Networks identifiziert nun auch Windows-Variante des Trojaners WireLurker

München – 07. November 2014 Nachdem Palo Alto Networks, Marktführer im Bereich Enterprise Security, gestern ein Whitepaper mit Details zur Mac OS-X Malware WireLurker veröffentlicht hat, haben Malware-Experten, die mit Palo Alto Networks kooperieren, eine weitere Variante als ausführbare Windows-Datei entdeckt. Bei WireLurker handelt es sich um die erste Malware, die sowohl nicht-gehackte als auch gehackte iOS-Geräte von einem Mac OS X-System aus angreifen kann. Die Windows-Datei, die die gleiche Command&Control-Server-Adresse der zuvor identifizierten OS X-Variante von WireLurker aufwies, wurde im Forschungszentrum von Palo Alto Networks analysiert. Dabei stellte sich heraus, dass es sich um eine ältere Version von WireLurker handelt, die von einer anderen Quelle aus China verbreitet wird. Die Windows-Variante kann ebenfalls iOS-Nutzer infizieren, scheint aber nicht so effektiv zu sein wie die Mac OS X-Variante von WireLurker.

Palo Alto Networks hat umgehend für alle Varianten von WireLuker Schutzvorkehrungen für seine Antivirus-, Wildfire-, IPS- und URL-Filter-Produkte veröffentlicht. Zudem hat Palo Alto Networks den  Erkennungscode in Github aktualisiert, um die älteren Mac OS-Versionen der Malware zu erkennen und wird in Kürze ein Tool veröffentlichen, das die Windows-Variante erkennen kann.

Einige Details deuteten bislang darauf hin, dass der Ursprung von WireLurker mit dem Maiyadi App Store in Zusammenhang stehen könnte, doch die neu aufgedeckten Samples wurden auf Baidu YunPan, ein öffentlicher Cloud-Storage-Service, hochgeladen. Dort werden 180 ausführbare Windows-Dateien und 67 Mac OS X-Anwendungen vorgehalten, von denen jede eine Version des Trojaners WireLurker enthält. Palo Alto Networks hat diese Dateien heruntergeladen und bestätigt, dass alle zu einer neuen Variante von WireLurker gehören und als Trojaner-Malware zu klassifizieren sind.

Die ältere WireLurker-Variante öffnet eine Benutzeroberfläche, von der aus Raubkopien von iOS Apps angeboten werden. Einige der iOS-Apps sind sehr gefragt, während  es sich bei anderen um bereits vorinstallierte Apps auf iOS handelt. Zu den angebotenen Apps zählen Facebook, WhatsApp Messenger, Twitter, Instagram, Minecraft, Flappy Bird, Bible, GarageBand, Calculator, Keynote, iPhoto, Find My iPhone, iMovie und iBooks. Seit 13. März wurden diese Apps bereits über 65.000 Mal heruntergeladen, davon 97,7 Prozent als Windows-Version. Wie die neueste WireLurker-Variante, versucht auch diese Variante gehackte iOS-Geräte mit der WireLurker iOS Malware zu infizieren. Nachdem die Benutzer die heruntergeladenen Dateien unter Windows ausführen, erscheint eine weitere GUI. Wenn auf dem Windows-System iTunes nicht installiert ist, führt die Malware den Anwender zu einer offiziellen Website von Apple China, wo iTunes heruntergeladen und installiert werden kann.

Apple-Nutzer weltweit betroffen

Neue Malware-Familie wird durch von Trojaner befallene und neu verpackte Apple-OS-Anwendungen verbreitet

München – 06. November 2014 Palo Alto Networks, Marktführer im Bereich Enterprise Security, hat eine neue Familie von Apple OS X- und iOS-Malware identifiziert – mit Charakteristiken, die von allen bisher dokumentierten Bedrohungen gegen Apple-Plattformen abweichen. Diese neue Familie, genannt WireLurker, markiert eine neue Ära der Malware, die gegen Apples Desktop- und mobile Plattformen gerichtet ist. Potenziell betroffen sind Unternehmen, Behörden und Apple-Kunden auf der ganzen Welt.

WireLurker ist unter anderem durch folgende Merkmale charakterisiert:

  • Die erste bekannte Malware-Familie, die installierte iOS-Anwendungen ähnlich wie ein traditionelles Virus infizieren kann.
  • Die erste Malware-Familie in freier Wildbahn, die Drittanbieter-Anwendungen auf nicht-gehackten iOS-Geräten durch Enterprise Provisioning installieren kann.
  • Erst die zweite bekannte Malware-Familie, die iOS-Geräte über OS X via USB-Schnittstelle angreifen kann. 
  • Die erste Malware-Familie, die in der Lage ist,  die Generierung schädlicher iOS-Anwendungen durch Binärdateiaustausch zu automatisieren.

Die WireLurker Malware wurde von Claud Xiao von Unit 42, dem Threat Intelligence Team von Palo Alto Networks, enttarnt und wird im gestern veröffentlichten Bericht WireLurker: A New Era in OS X and iOS Malware detailliert dargestellt.

Nach ersten Hinweisen durch einen Entwickler von Tencent im Juni 2014 haben die Forscher von Palo Alto Networks mögliche Auswirkungen von WireLurker ermittelt und verfügbare Abwehrmethoden bewertet, um die Bedrohung erkennen, isolieren und beseitigen zu können. Palo Alto Networks hat seinen Kunden bereits detaillierte Schutzanweisungen zukommen lassen und Signaturen veröffentlicht, um den gesamten Command & Control-Kommunikationsverkehr von WireLurker zu erkennen. Kunden mit OS X- oder iOS-Geräten empfiehlt Palo Alto Networks die Anwendung einer strikten Policy zur Abwehr von WireLurker Traffic mithilfe der Enterprise-Security-Plattform von Palo Alto Networks. Eine vollständige Liste der Systemempfehlungen, Sanierungsverfahren und Best Practices ist dem Bericht über WireLurker zu entnehmen.

„WireLurker ist anders als alles, das wir je in Bezug auf Apple iOS- und OS X-Malware gesehen haben. Die im Einsatz befindlichen Techniken zeigen, dass die Übeltäter immer ausgefeilter agieren, um zwei der weltweit bekanntesten Desktop- und Mobil-Plattformen anzugreifen. Wir haben unseren Kunden vollen Schutz zur Verfügung gestellt und einen ausführlichen Bericht veröffentlicht, damit auch andere Nutzer das Risiko beurteilen und geeignete Maßnahmen treffen können, um sich zu schützen“, kommentierte Ryan Olson, Intelligence Director der Unit 42 bei Palo Alto Networks.