Malware-Experten, die mit Palo Alto Networks kooperieren, haben jetzt eine weitere Variante der Schadware als ausführbare Windows-Datei entdeckt. Bisher war nur bekannt, dass WireLurker über USB verbundene iPhones und iPads mithilfe manipulierter OS-X-Anwendungen befällt.

Die neue Schadsoftware, die die US-Sicherheitsfirma Palo Alto Networks entdeckt hat, benutzt nicht mehr nur, wie gestern berichtet ^[1], Macs, um iOS-Geräte zu infizieren, inzwischen ist auch eine Windows-Version aufgetaucht. Die Verbreitung der Mac-Variante erfolgte bisher ausschließlich über inoffizielle OS-X-App-Stores in China und die Malware-Angriffe war bisher auf chinesische Nutzer beschränkt.

Nachdem Palo Alto Networks gestern ein Whitepaper mit Details zur Mac OS-X Malware WireLurker veröffentlicht hatte, hat einem Blog-Eintrag ^[2] des Unternehmens zufolge Malware-Experte Jaime Blasco der AlienVault Labs ^[3], die mit Palo Alto Networks kooperieren, eine weitere Variante als ausführbare Windows-Datei entdeckt.

Bei WireLurker handelt es sich um die erste Malware, die sowohl nicht-gehackte als auch gehackte iOS-Geräte von einem Mac OS X-System aus angreifen kann. Die Windows-Datei, die die gleiche Command&Control-Server-Adresse der zuvor identifizierten OS X-Variante von WireLurker aufwies, wurde im Forschungszentrum von Palo Alto Networks analysiert. Dabei stellte sich heraus, dass es sich um eine ältere Version von WireLurker handelt, die von einer anderen Quelle aus China verbreitet wird. Die Windows-Variante kann ebenfalls iOS-Nutzer infizieren, scheint aber nicht so effektiv zu sein wie die Mac OS X-Variante von WireLurker.

Einige Details deuteten Informationen von Palo Alto zufolge darauf hin, dass der Ursprung von WireLurker mit dem Maiyadi App Store in Zusammenhang stehen könnte, doch die neu aufgedeckten Samples wurden auf Baidu YunPan, ein öffentlicher Cloud-Storage-Service, hochgeladen. Dort werden 180 ausführbare Windows-Dateien und 67 Mac OS X-Anwendungen vorgehalten, von denen jede eine Version des Trojaners WireLurker enthält. Palo Alto Networks hat diese Dateien heruntergeladen und bestätigt, dass alle zu einer neuen Variante von WireLurker gehören und als Trojaner-Malware zu klassifizieren sind.

^[4]

Screenshot eines erfolgreichen Angriffs in China (Bild: Palo Alto).

Die ältere WireLurker-Variante öffnet eine Benutzeroberfläche, von der aus Raubkopien von iOS-Apps angeboten werden. Einige der iOS-Apps sind sehr gefragt, während es sich bei anderen um bereits vorinstallierte Apps auf iOS handelt. Zu den angebotenen Apps zählen Facebook, WhatsApp Messenger, Twitter, Instagram, Minecraft, Flappy Bird, Bible, GarageBand, Calculator, Keynote, iPhoto, Find My iPhone, iMovie und iBooks. Seit 13. März wurden diese Apps bereits über 65.000 Mal heruntergeladen, davon 97,7 Prozent als Windows-Version.

Wie die neueste WireLurker-Variante, versucht auch diese Variante gehackte iOS-Geräte mit der WireLurker-iOS-Malware zu infizieren. Nachdem die Benutzer die heruntergeladenen Dateien unter Windows ausführen, erscheint eine weitere GUI. Wenn auf dem Windows-System iTunes nicht installiert ist, führt die Malware den Anwender zu einer offiziellen Website von Apple ^[5] China, wo iTunes heruntergeladen und installiert werden kann.

Palo Alto Networks hat eigenen Aussagen zufolge für alle Varianten von WireLuker Schutzvorkehrungen für seine Antivirus-, Wildfire-, IPS- und URL-Filter-Produkte veröffentlicht. Zudem hat Palo Alto Networks den Erkennungscode in Github aktualisiert, um die älteren Mac-OS-Versionen der Malware zu erkennen und will in Kürze ein Tool veröffentlichen, das die Windows-Variante erkennen kann.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de ^[6]