Neue iOS-Malware entdeckt

Hay-Tun am Dienstag 6. Oktober 2015 15:32:41

Neue iOS-Malware entdeckt

Sicherheitsexperten haben eine neue iOS-Malware entdeckt, die auch für Geräte ohne Jailbreak gefährlich ist.

Die mit YiSpecter bezeichnete Malware nutzt Schwachstellen in Apples Distributionskanal für Entwickler- und Unternehmens-Apps aus. Apple zufolge wurden diese Sicherheitslücken seit iOS 8.4 dicht gemacht. iPhone- und iPad-User, die Apps ausschließlich aus dem Apple App Store herunterladen, seien von der Malware nicht betroffen.

Den Sicherheitsspezialisten von Palo Alto Networks zufolge steht das chinesische Unternehmen Bejing Yingmob Interactive Technology hinter YiSpecter. Drei der vier Malware-Komponenten sind mit Zertifikaten der Firma signiert. Die Kommando-Server werden zudem auf deren Websites gehostet.

YiSpecter wird auf unterschiedliche Weise in die Geräte eingeschleust. Opfer werden zum Beispiel über App-Promos in Sozialen Netzwerken zur Installation aufgefordert. Allerdings hat Palo Alto Networks auch festgestellt, dass die Cyber-Kriminellen offenbar Teile der Mobilfunkinfrastruktur bestimmter Provider kontrollieren und dadurch problemlos ein Hinweis-Fenster zur Installation auf den mit dem manipulierten Mobilfunknetz verbundenen Geräten anzeigen können. Laut Analysen der Sicherheitsanbieter Qihoo 360 und Cheetah Mobile wurde für die Verteilung der Malware auch der sogenannte Lingdun-Wurm genutzt. Er greift Windows-Computer unter Nutzung gefälschter Zertifikate von Symantec und VeriSign an. Die Anbieter bekommen pro Installation eine Belohnung von bis zu 0,4 Dollar.

YiSpecter besteht aus vier Komponenten, die alle mit Apple-Zertifikaten signiert sind. Diese werden durch Missbrauch privater APIs von einem Command-and-Control-Server heruntergeladen und installiert. Drei dieser Komponenten verstecken ihre Icons vor der iOS-Benutzeroberfläche Springboard, damit es Opfern schwerer fällt sie aufzuspüren und zu löschen. Außerdem übernehmen sie Namen und Logos von System-Apps.

Bisher wurden Angriffe mit YiSpecter vor allem in China und Taiwan registriert. Die Opfer wurden mit der Bezeichnung "Private Version" oder "Version 5.0" des Mediaplayers QVOD zur Installation des Schadcodes verleitet. Wird YiSpecter entfernt, erscheint das Programm nach einem Neustart automatisch wieder. Networks hat Signaturen veröffentlicht, um den Datenverkehr von YiSpecter zu blockieren.

Foto: © Flickr: Joseph Thornton.


Kommentar hinzufügen

Kommentare

Kommentar hinzufügen