Malware YiSpecter attackiert auch iOS-Geräte ohne Jailbreak mit Erfolg

Bisher richten sich Angriffe der Malware YiSpecter vor allem gegen iOS-Nutzer in China und Taiwan. Die Schadsoftware missbraucht private APIs im iOS-Betriebssystem.

Auf eine erste tatsächlich in Umlauf befindliche iOS-Malware, die sowohl Geräte mit als auch ohne Jailbreak erfolgreich angreifen soll, haben Experten des IT-Security-Unternehmens Palo Alto Networks hingewiesen. Die Schadsoftware namens YiSpecter missbraucht dazu private APIs. Apple wurde bereits über die Malware informiert.

Palo Alto Networks Logo (Bild: Palo Alto Networks)
Laut Palo Alto Networks wurde diese Möglichkeit bisher von Sicherheitsexperten lediglich theoretisch diskutiert, sie sei nun aber erstmals in der Praxis für Angriffe genutzt worden.

In Apples App Store hat das Security-Unternehmen mehr als 100 Apps gefunden, die private APIs missbraucht haben, um die Code-Review von Apple zu umgehen. „Das heißt, die Angriffstechnik des Missbrauchs privater APIs kann auch separat verwendet werden und alle normalen iOS-Benutzer betreffen, die einfach nur Apps aus dem App Store herunterladen“, so das Sicherheitsunternehmen.

Auf infizierten Geräten wird von YiSpecter in einigen Fällen, wenn der Benutzer eine normale App öffnet, eine Vollbild-Werbeanzeige dargestellt (Screenshot: Palo Alto Networks).

Auf infizierten Geräten wird von YiSpecter in einigen Fällen, wenn der Benutzer eine normale App öffnet, eine Vollbild-Werbeanzeige dargestellt (Screenshot: Palo Alto Networks).

Seit November 2014 ist YiSpecter Palo Alto zufolge mindestens schon aktiv und verbreitet sich seitdem über ungewöhnliche Wege, die wohl bisher auch die Entdeckung verhindert haben. Zwar seien Symptome für YiSpecter-Infektionen auf iPhones schon in Online-Foren diskutiert und auch an Apple gemeldet worden, dennoch erkenne die Malware aktuell nur ein Anbieter von Sicherheitssoftware.

Die Malware setzt sich aus vier Komponenten zusammen, die alle mit Unternehmenszertifikaten signiert sind. Diese laden sich durch Missbrauch privater APIs von einem Command-and-Control-Server herunter und installieren sich. Drei der Komponenten verbergen ihre Icons vor iOS Springboard, damit es Benutzern schwerer fällt sie aufzuspüren suchen und zu löschen kann. Sie nutzen dazu den Namen und die Logos von System-Apps.

YiSpecter kann – einmal installiert – weitere Apps herunterladen, installieren und starten. Außerdem kann die Malware Anwendungen durch von ihr heruntergeladene Apps ersetzen und die Ausführung anderer Apps behindern, um Werbung anzuzeigen. YiSpecter ist zudem in der Lage, in Safari die Standardsuchmaschine, Lesezeichen und geöffnete Seiten zu ändern und Geräteinformationen zu einem Server der Angreifer hochzuladen.

Bisher richten sich Angriffe mit der Malware YiSpecter vor allem gegen iOS-Nutzer in China und Taiwan. Diese wurden mit der Beschreibung “Private Version” oder “Version 5.0” des Mediaplayers QVOD zur Installation verleitet. Die von Kuaibo entwickelte App QVOD wurde in China bis 2014 von Nutzern zum Teilen von Porno-Videos verwendet. 2014 ging jedoch die Polizei gegen den Entwickler vor, dessen Videoabspieldienst wurde abgeschaltet. Die Hintermänner von YiSpecter begannen daraufhin ihre App als vermeintliche Alternative zu QVOD anzubieten.

Wird YiSpecter manuell gelöscht, erscheint die Malware nach einem Neustart automatisch wieder. Anzeichen für eine Infektion sind zusätzliche „System-Apps“ auf dem Gerät, die mittels Tools von Drittanbietern erkannt werden können. Palo Alto Networks hat Signaturen veröffentlicht, um den Datenverkehr von YiSpecter zu blockieren. Außerdem gibt das Unternehmen Betroffenen Ratschläge, wie sie YiSpecter manuell entfernen können.

[Mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Malware YiSpecter attackiert auch iOS-Geräte ohne Jailbreak mit Erfolg

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *