FireEye: schädliche Backdoors in tausenden iOS-Apps aufgespürt

Spezialisten von FireEye haben in tausenden iOS-Apps, die ursprünglich in Apples App Store veröffentlicht wurden, Backdoor-Versionen einer Anzeigenbibliothek entdeckt. Die betroffenen Versionen der Bibliothek wurden zum Ausliefern von Anzeigen verwendet und ermöglichten potenziell Zugriff auf vertrauliche Nutzerdaten sowie Gerätefunktionen.

Bis zum 4. November identifizierte FireEye nach eigenen Angaben 2846 iOS-Apps, die Backdoor-Versionen des mobiSage SDK enthielten. Über 900 davon versuchten, den Ad-Server zu kontaktieren, der den JavaScript-Code zur Kontrolle der Backdoors liefern konnte. Am 21. Oktober übermittelte FireEye die komplette Liste der schädlichen Apps sowie die zugehörigen technischen Details an Apple.

Malware (Bild: Shutterstock/Blue Island

Malware (Bild: Shutterstock/Blue Island

Um verschiedene Aktionen auf einem iOS-Gerät durchzuführen, konnten die Backdoors per Fernzugriff durch das Laden eines JavaScript-Codes von einem Remote-Server gesteuert werden. Dazu zählten die Aufnahme von Audio-Inhalten und Screenshots, das Überwachen und Übermitteln von Ortungsdaten, das Lesen, Löschen, Erstellen und Verändern der Dateien im Datencontainer der App und das Senden verschlüsselter Daten an den Remote-Server.

Außerdem ließen sich die App-Keychain, etwa der App-Passwortspeicher, auslesen, überschreiben oder zurücksetzen und URL-Schemas zur Identifizierung sowie zum Start anderer auf dem Gerät installierter Anwendungen öffnen. Die Backdoors ermöglichten ebenfalls Sideloading von nicht aus dem App Store stammenden Applikationen, indem der Nutzer aufgefordert wurde, auf eine Schaltfläche „Installieren“ zu klicken.

FireEye stellte bei einer Analyse der betroffenen Anzeigenbibliothek fest, dass die Ursache des Problems offenbar eine Version des vom chinesischen Werbedienstleister adSage veröffentlichten mobiSage SDK ist. Es fand 17 verschiedene Backdoor-Varianten der Bibliothek mit den Versionsnummern 5.3.3 bis 6.4.4. In der jüngsten Ausgabe 7.0.5 sind die potentiellen Hintertüren jedoch nicht mehr enthalten. Unklar ist, ob die Backdoor-Versionen der Anzeigenbibliothek von adSage selbst stammen oder von Dritten erstellt und/oder kompromittiert wurden.

Es gibt laut dem Sicherheitsanbieter keine Anzeichen dafür, dass vom Ad-Server tatsächlich schädliche Befehle ausgingen, um Nutzerdaten zu stehlen. Allerdings hätten betroffene Apps regelmäßig den Server kontaktiert, um zu prüfen, ob neuer JavaScript-Code vorliegt. Angreifer hätten so die Backdoors einfach ausnutzen können, um darüber Schadcode auf ein iOS-Gerät zu schleusen.

[Mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu FireEye: schädliche Backdoors in tausenden iOS-Apps aufgespürt

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *