- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Verteilung von iOS-Malware


Malware auf iPhones: iPhones werden mehr als zwei Jahre ausspioniert
Angreifer nutzen verschiedene Angriffsketten zur Infektion - Regelmäßige iOS-Updates schützen Nutzer

- Anzeigen -





Sicherheitsforscher haben aufgedeckt, dass iPhones von Apple mehr als zwei Jahre lang ausspioniert wurde. Dabei wurden eine kleine Anzahl häufig frequentierter Websites angriffen und über einen Zeitraum von zwei Jahren für die Verteilung von iOS-Malware genutzt. Malwarebytes, der führende Anbieter von Lösungen zur Vermeidung und Behebung von Malware-Bedrohungen, analysiert den Malware-Angriff und zeigt, wie man sich bestmöglich schützen kann.

In der Vergangenheit war iOS immer wieder Ziel von Cyberangriffen. Die Schwierigkeit bei der Infektion eines iPhones besteht für Angreifer darin, dass eine Zero-Day-Schwachstelle benötigt wird, das heißt, dass die Sicherheitsverantwortlichen die Schwachstelle zum Zeitpunkt der Veröffentlichung nicht kennen.

Solche Schwachstellen können auf dem freien Markt einen Wert von über einer Million US-Dollar übersteigen. iPhone-Infektionen zielen daher eher nicht auf Einzelpersonen ab.

Infektionsmechanismus
Laut einem Bericht eines Google-Sicherheitsforschers wurden die infizierten Websites mit zahlreichen Watering-Hole-Angriffen ins Visier genommen, wobei 14 verschiedene iOS-Schwachstellen ausgenutzt wurden, die zu fünf verschiedenen Angriffsketten kombiniert wurden.

Eine Angriffskette ist eine Reihe von zwei oder mehreren Schwachstellen, die gemeinsam genutzt werden können, um ein bestimmtes Ziel zu erreichen, typischerweise eine Infektion eines Zielsystems. Denn meist reicht für eine erfolgreiche Infektion durch die Angreifer nicht eine Schwachstelle alleine aus, sondern nur eine Kombination von zwei oder mehreren.

Von den verwendeten Schwachstellen waren zum Entdeckungszeitpunkt nur noch zwei sogenannte Zero-Day-Schwachstellen (CVE-2019-7286 und CVE-2019-728) zu erkennen. Diese wurden von Apple in der iOS 12.1.4. Version vom 7. Februar 2019 behoben. Die restlichen 12 waren zum Zeitpunkt keine Zero-Day-Schwachstellen, das heißt sie sind bereits von Apple gepatcht worden. Die verschiedenen Angriffsketten waren in der Lage, Geräte mit iOS 10 bis iOS 12.1.3 mit einem entsprechend gleichen Implantat (iPhone-Malware) zu infizieren.

Verhalten des iPhone-Malware-Implantat
Das iPhone-Malware-Implantat, dem kein genauerer Name gegeben wurde, kann aus der iOS-Sandbox genommen und als Root ausgeführt werden, was im Wesentlichen bedeutet, dass die Sicherheitsmechanismen von iOS umgangen werden. Dabei kommuniziert das Implantat mit einem Command and Control (C&C) Server auf einer fest kodierten IP-Adresse über einfaches, verschlüsseltes HTTP. Zusätzlich zum Hochladen von Daten auf den Server kann es auch eine Reihe von Befehlen vom Server empfangen.

Die Liste von Befehlen zeigt besorgniserregende Fähigkeiten. Unter anderem ist die iPhone-Malware in der Lage, Fotos, SMS-Nachrichten, E-Mail-Nachrichten, Kontakte oder Notizen zu stehlen. Zusätzlich kann die vollständige Anrufhistorie oder die Geräteposition in Echtzeit abgerufen werden.

Es beinhaltet auch die Möglichkeit, die unverschlüsselten Chat-Transkripte von einer Reihe von wichtigen End-to-End-Clients für verschlüsseltes Messaging, einschließlich Whatsapp und Telegram, zu erhalten. Doch damit nicht genug: Bei einer Infizierung, werden verschlüsselte Nachrichten nicht nur von den Angreifern selbst gesammelt, sondern auch im Klartext über das Internet übertragen.

Welche Maßnahmen sollten jetzt ergriffen werden?
Zunächst ist weiterhin unklar, welche Websites betroffen waren. Es ist unmöglich nachzuvollziehen, wer mit dieser mysteriösen iPhone Malware infiziert sein könnte. Glücklicherweise gibt es aber an dieser Stelle kein Grund zur Panik: Die Schwachstellen sind seit geraumer Zeit bereits gepatcht. Das Implantat ist nicht in der Lage, nach einem Neustart persistent zu bleiben. Das bedeutet, jedes Mal, wenn ein infiziertes iPhone neu gestartet wird – z.B. wenn ein iOS-Update installiert wird – wird das Implantat entfernt. Natürlich kann ein anfälliges Gerät aber immer wieder neu durch eine Schwachstelle infiziert werden.

Aus diesem Grund ist jedes Gerät mit iOS 12.1.4 nicht nur immun gegen diese speziellen Angriffe, sondern kann auch nicht mehr infiziert werden, da der Neustart bei der Installation von 12.1.4 (oder höher) erfolgt. Es ist unwahrscheinlich, dass zu diesem Zeitpunkt noch jemand infiziert ist, es sei denn, dem Gerät fehlt ein iOS-Update oder das Gerät wurde nie neu gestartet. Ein Update mit der neusten iOS-Version sorgt somit garantiert für Sicherheit.

Außerdem gibt es einen einfachen Test, um herauszufinden, ob ein Gerät mit der Malware infiziert ist:

>> Das betroffene Gerät über ein Kabel an einen Mac anschließen
>> Konsolenanwendung auf dem Mac öffnen
>> In der Konsole das iPhone in der Liste der Geräte auswählen
An dieser Stelle werden die Protokollmeldungen vom iOS-Gerät angezeigt. Obwohl die Konsole keine früheren Nachrichten anzeigt, sollte ein infiziertes iOS-Gerät, Nachrichten mit bestimmten Codes wie "uploadDevice", "postFile success" und "timer trig" aufzeigen. Eine vollständige Liste der möglichen Strings, nach denen gesucht werden kann, findet sich hier.

Wer war vom Angriff betroffen?
An dieser Stelle ist es unmöglich zu wissen, wer verantwortlich ist oder wer infiziert wurde, ohne weitere Informationen, wie z.B. die Namen der betroffenen Websites.

Das lässt natürlich Raum für Interpretationen. Es scheint als gesichert, dass die Malware nicht auf Einzelpersonen abzielte. Das bedeutet jedoch nicht unbedingt, dass der Angriff nicht auf eine bestimmte Gruppe von Personen ausgerichtet war, die wahrscheinlich die gehackten Seiten besuchen würden. Das ist in der Tat die typische Vorgehensweise bei einem Watering Hole-Angriff: Eine Website, die wahrscheinlich von der Zielgruppe besucht wird, wird angegriffen und zur Verbreitung von Malware genutzt. So etwas geschah bereits im Jahr 2013, als Angreifer eine Entwickler-Website mit einem Java-basierten Exploit kompromittierten und Entwickler aus vielen großen Unternehmen, darunter Apple, mit der Malware OSX.Pintsized infizierten.

Zukunftsaussicht
Obwohl die akute Bedrohung vorüber ist, hat der Angriff eine neue Dimension gezeigt, die in dieser Form allerdings immer von Sicherheitsforschern für möglich gehalten wurde und jetzt Realität ist. Es wird auch zukünftig immer Schwachstellen von iOS und Angriffe dagegen geben. Das extrem geschlossene System von iOS erschwert es den Apple-Nutzern auch, festzustellen, ob ein Gerät infiziert wurde. Obwohl Apple keine Antivirensoftware unter iOS zulässt, muss es für Benutzer zukünftig Möglichkeiten geben, ihre Geräte auf Infektionen zu überprüfen. Wenn so etwas mögliche wäre, wäre dieser Angriff auf iPhones wahrscheinlich nicht über zwei Jahre unentdeckt geblieben. (Malwarebytes: ra)

eingetragen: 23.09.19
Newsletterlauf: 07.11.19

Malwarebytes: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Verteilung von iOS-Malware

    Sicherheitsforscher haben aufgedeckt, dass iPhones von Apple mehr als zwei Jahre lang ausspioniert wurde. Dabei wurden eine kleine Anzahl häufig frequentierter Websites angriffen und über einen Zeitraum von zwei Jahren für die Verteilung von iOS-Malware genutzt. Malwarebytes, der führende Anbieter von Lösungen zur Vermeidung und Behebung von Malware-Bedrohungen, analysiert den Malware-Angriff und zeigt, wie man sich bestmöglich schützen kann.

  • WannaCry bildet immer neue Varianten aus

    Die Beute bleibt die gleiche. Aber das Jagdverhalten ändert sich. Der neueste Report von Sophos "WannaCry Aftershock" gibt einen Überblick über die WannaCry-Schadsoftware, die es mit einer weltweiten Angriffswelle am 12. Mai 2017 zu einiger Bekanntheit geschafft hat. Die Analysen der Sophos-Forscher zeigen, dass WannaCry weiterhin aktiv ist, mit Millionen versuchten Neuinfizierungen jeden Monat. Die mit sehr großem Abstand meisten Infektionen (22 Prozent weltweit) konnten die Sophos-Experten dabei in den USA nachweisen, gefolgt von Indien und Pakistan mit jeweils rund 8 Prozent. Deutschland rangiert mit nur 0,5 Prozent relativ weit hinten in der Rangliste, noch weniger betroffen sind in Europa Großbritannien und die Niederlande. Deren Nachbar, Belgien, ist mit 2,1 Prozent europaweit am zweitstärksten betroffen, Spitzenreiter bei den Infektionen in Europa ist Italien mit knapp 6 Prozent.

  • Apps zielen auf Spionage ab

    Die Sicherheitsforscher von Avast haben sieben Apps im Google Play Store entdeckt, die wohl dazu gedacht sind, Mitarbeiter, Partner oder Kinder auszuspionieren. Dem Serverstandort nach zu urteilen stammen die Anwendungen von einem russischen Entwickler. Die Apps erlauben es dem Nutzer, neben dem Standort Kontakte, SMS und den Anrufverlauf der jeweiligen Zielperson zu erfassen. Wenn das Smartphone darüber hinaus gerootet ist, können auch WhatsApp- und Viber-Nachrichten gelesen werden. Bisher wurden die Apps insgesamt mehr als 130.000 Mal installiert, wovon mehr als 50.000 Installationen jeweils von "Spy Tracker" und "SMS Tracker" waren.

  • Baldr: Sehr aktiv mit Fokus auf Identitäten

    Malware allein ist schon gemein. Doch wenn Cyberkriminelle die Vorlieben von beispielsweise Gamern ausnutzen, dann ist es Hinterlist. Aufgerüstete PC-Systeme und "Dienstprogramme" erleichtern den Hackern dabei die Arbeit. Baldr - klingt seltsam und man möchte es nicht haben. Insbesondere Gamer hat dieser Trojaner seit Januar 2019 im Fadenkreuz. Aktuell scheint auf dem Cyberkriminellenmarkt eine Verkaufspause der perfiden Malware, doch man darf getrost davon ausgehen, dass Baldr in Kürze wieder auftaucht. Vielleicht modifiziert und möglicherweise unter neuem Namen - in jedem Fall will man es auch dann sicher nicht haben. SophosLabs hat Evolution, Wirkungsweise sowie heutige Verbreitung der Malware erforscht und in einem Report zusammengefasst.

  • Schwachstelle in beliebter Datenbank-Format SQLite

    Check Point Research, die Threat Intelligence-Abteilung von Check Point Software Technologies, wies auf der BlackHat Conference auf eine gefährliche Schwachstelle in dem beliebten Datenbank-Format SQLite hin. Es handelt sich um das weltweit am stärksten verbreite Datenbank-System und betrifft daher eine große Gruppe von Nutzern. Aufgrund der niedrigen Systemanforderungen befindet sich SQLite in Browsern wie Google Chrome, Safari und Firefox, aber vor allem in Betriebssystemen, wie Windows 10, Android und den Apple-Systemen, MacOS und iOS. Die Sicherheitsforscher von Check Point demonstrierten die Sicherheitslücke anhand eines Iphones und hoben daher die Bedrohung besonders für iOS hervor. Dort kann nämlich die harmlose App ‚Kontakte' zum Einfallstor werden. Doch das ist nicht der einzige Grund, warum sich die Forscher auf das Iphone konzentrierten.