iOS-Malware KeyRaider stiehlt 225.000 Apple-Konten
iOS-Malware stiehlt 225.000 Apple-Konten zur Nutzung der App „Utopia“ –
Palo Alto Networks analysiert Verhalten der Malware „KeyRaider“
München, den 31. August 2015 – In Zusammenarbeit mit WeipTech hat Palo Alto Networks 92 Proben einer neuen iOS- Malware-Familie identifiziert, die „in freier Wildbahn“ aktiv ist. WeipTech.org hatte verdächtige Apple iOS-Tweaks, die von Benutzern gemeldet wurden, untersucht. Dabei kamen über 225.000 gültige Apple-Konten mit Passwörtern zum Vorschein, die allesamt auf einem Server gespeichert waren.
„Unter den Betroffenen sind auch User aus Deutschland, Frankreich und Großbritannien. Unsere Malware-Forscher von Unit 42 haben nun diese Proben analysiert, um die Absicht des Autors herauszufinden und haben diese Malware „KeyRaider“ benannt“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Unsere Experten sind sich sicher, dass dies der bisher größte bekannte, durch Malware erfolgte Diebstahl von Apple-Accounts ist.“
Ziele von KeyRaider sind sogenannte „jailbroken“ iOS-Geräte. verbreitet wird die Malware über Drittanbieter-Cydia-Repositorys in China. Insgesamt könnten Nutzer aus 18 Ländern betroffen sein, darunter China, Frankreich, Russland, Japan, Großbritannien, USA, Kanada, Deutschland, Australien, Israel, Italien, Spanien, Singapur und Südkorea. Die Malware heftet sich über MobileSubstrate an Systemprozesse und stiehlt Benutzernamen, Passwörter und Geräte-GUIDs von Apple-Konten, indem sie iTunes-Verkehr auf dem Gerät abfängt. KeyRaider stiehlt Zertifikate und Private Keys des Apples Push-Benachrichtigungsdiensts, stiehlt und vertreibt AppStore-Bestellinformationen und deaktiviert lokale und ferngesteuerte Entriegelungsfunktionen auf iPhones und iPads.
KeyRaider hat bereits über 225.000 gültige Apple-Konten und Tausende von Zertifikaten, privaten Schlüsseln und Kaufbelegen gestohlen. Die Malware lädt die gestohlenen Daten zu seinem Command-and-Control (C2)-Server hoch, der selbst Schwachstellen enthält, die vertrauliche Benutzerinformationen zugänglich machen. Zweck dieses Angriffs war es, für Benutzer von zwei iOS Jailbreak Tweaks zu ermöglichen, Anwendungen aus dem offiziellen App Store herunterzuladen und In-App-Käufe zu tätigen, ohne tatsächlich zu zahlen. Jailbreak Tweaks sind Software-Pakete, mittels derer sich Aktivitäten ausführen lassen, die auf iOS normalerweise nicht möglich sind.
Diese beiden Tweaks kapern App-Kauf-Anfragen, laden gestohlenen Konten oder Kaufbelege vom C2-Server herunter und emulieren dann das iTunes-Protokoll, um sich am Apple-Server anzumelden und Apps oder andere von den Nutzern gewünschte Artikel zu kaufen. Die Tweaks sind über 20.000 Mal heruntergeladen worden, was darauf hindeutet, dass aktuell rund 20.000 Nutzer die 225.000 gestohlenen Anmeldedaten missbrauchen. Einige Opfer berichteten, dass ihre gestohlenen Apple-Konten eine ungewöhnliche App-Kaufhistorie anzeigen. Andere stehen vor ihren verschlüsselten Smartphones und werden aufgefordert Lösegeld zu zahlen.
Palo Alto Networks und WeipTech haben Dienste zur Verfügung gestellt, um die KeyRaider-Malware zu erkennen und die gestohlenen Anmeldeinformationen zu identifizieren. Palo Alto Networks empfiehlt zudem allen Nutzern von Apple iOS-Geräten, die verhindern möchten, KeyRaider und ähnlicher Malware zum Opfer zu fallen, niemals einen Jailbreak an ihrem iPhone oder iPad durchzuführen. Derzeit gibt es keine Cydia-Repositorys, die strenge Sicherheitskontrollen für hochgeladene Apps oder Tweaks vornehmen. Die Nutzung sämtlicher Cydia Repositories erfolgt auf eigene Gefahr.