iOS Malware YiSpecter läuft auch auf Nicht-Jailbroken iOS-Geräte
Erste iOS Malware, die auch Nicht-Jailbroken iOS-Geräte durch den Missbrauch privater APIs angreift – Palo Alto Networks entdeckt YiSpecter
Palo Alto Networks hat eine neue Apple iOS Malware entdeckt und sie YiSpecter benannt. YiSpecter unterscheidet sich von zuvor beobachteter iOS Malware dadurch, dass sie Angriffe sowohl auf Jailbroken als auch Nicht-Jailbroken-iOS-Geräte durchführt. Dabei fällt YiSpecter durch besonders schädliche bösartige Aktivitäten auf. Es handelt sich um die erste in freier Wildbahn beobachtete Malware, die private APIs (Application Programming Interface) im iOS-System missbraucht, um schädliche Funktionalitäten zu implementieren. Palo Alto Networks hat bereits Maßnahmen getroffen, um den schädlichen Datenverkehr von YiSpecter zu blockieren.
Bisher betrifft die Malware vor allem iOS-Nutzer in China und Taiwan. Sie verbreitet sich über ungewöhnliche Wege, einschließlich Traffic-Hijacking von nationalen Internetdienstbetreibern, einen SNS-Wurm auf Windows sowie über Offline-App-Installation und Community-Werbung. Viele Opfer haben YiSpecter-Infektionen auf ihren iPhones (jailbroken und nicht-jailbroken) in Online-Foren diskutiert und die Aktivitäten an Apple gemeldet. Die Malware ist seit mehr als zehn Monaten in freier Wildbahn, aber nur eine von 57 Sicherheitssoftwareanbietern in VirusTotal ist zum derzeitigen Stand in der Lage, die Malware zu erkennen.
YiSpecter besteht aus vier verschiedenen Komponenten, die mit Unternehmenszertifikaten signiert sind. Durch den Missbrauch privater APIs laden sich diese Komponenten von einem Command-and-Control (C2)-Server herunter und installieren sich. Drei der bösartigen Komponenten verwenden Tricks, um ihre Icons vor iOS Springboard zu verbergen, damit der Benutzer sie nicht suchen und löschen kann. Die Komponenten nutzen den gleichen Namen und die Logos von System-Apps, um iOS-Power-User auszutricksen.
Auf infizierten iOS-Geräten kann YiSpecter beliebige iOS-Apps herunterladen, installieren und starten. Die Malware kann bestehende Anwendungen mit diesen Downloads ersetzen und die Ausführung anderer Apps behindern, um Werbung anzuzeigen. Sie kann zudem die Safari-Standardsuchmaschine sowie Lesezeichen und geöffnete Seiten ändern und Geräteinformationen zum C2-Server hochladen. Berichten betroffener Nutzer zufolge konnten alle diese Verhaltensweisen bei YiSpecter-Angriffen in den vergangenen Monaten beobachtet werden.
Charakteristische Eigenschaften dieser Malware sind:
- Egal ob ein iPhone jailbroken ist oder nicht, kann die Malware erfolgreich heruntergeladen und installiert werden.
- Auch wenn die Malware manuell gelöscht wird, erscheint sie automatisch wieder.
- Mithilfe von Drittanbieter-Tools können einige seltsame zusätzliche „System-Apps“ auf infizierten Handys erkannt werden.
- Auf infizierten Handys erscheint in einigen Fällen, wenn der Benutzer eine normale App öffnet, eine Vollbild-Werbeanzeige.
YiSpecter ist die jüngste einer signifikanten Reihe von Malware-Familien, die es auf iOS-Geräte abgesehen haben. Erst kürzlich zuvor zeigte sich bei der Malware WireLurker, wie Nicht-Jailbroken-iOS-Geräte durch den Missbrauch von Unternehmenszertifikaten infiziert werden können. Forscher haben diskutiert, wie private APIs verwendet werden, um kritische Funktionalitäten in iOS zu implementieren. Allerdings ist YiSpecter die erste iOS-Malware, die diese beiden Angriffstechniken kombiniert und dadurch Schaden bei einem breiteren Spektrum von Anwendern verursacht. Dies drängt die iOS-Sicherheitslinie einen weiteren Schritt zurück.
Darüber hinaus kam die neueste Forschung zu dem Ergebnis, dass mehr als 100 Apps im App Store private APIs missbraucht haben, um die strenge Code-Review von Apple zu umgehen. Das heißt, die Angriffstechnik des Missbrauchs privater APIs kann auch separat verwendet werden und alle normalen iOS-Benutzer betreffen, die einfach nur Apps aus dem App Store herunterladen.
Palo Alto Networks hat bereits IPS- und DNS-Signaturen veröffentlicht, um den schädlichen Datenverkehr von YiSpecter zu blockieren. Im Blog des Forschungszentrums von Palo Alto Networks finden sich zudem Vorschläge, wie andere Benutzer YiSpecter manuell entfernen und künftig potenzielle ähnliche Angriffe verhindern können. Apple wurde davon ebenfalls unterrichtet.
Hier finden Sie den kompletten Bericht mit allen Details zur neuen iOS-Malware … http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-by-abusing-private-apis/