Gefährliche iOS-Malware auch ohne Jailbreak

Die neu entdeckte Malware »YiSpecter« befällt auch Apple-Geräte mit iOS, auf denen kein Jailbreak vorgenommen wurde. Der gefährliche Wurm kann unter anderem beliebige Apps herunterladen, installieren und starten sowie Geräteinformationen an einen C2-Server weitergeben.

In den letzten Wochen haben mehrere Attacken auf iOS-Geräte durch Malware wie »KeyRaider« und mit »XcodeGhost« verseuchte Apps die sonst so sicherheitsverwöhnten Apple-Nutzer verunsichert. Jetzt ist ein weiterer Schädling aufgetaucht, der nach den Aussagen der Sicherheitsexperten von Palo Alto Networks zwar bislang hauptsächlich in Asien aktiv ist, aber weltweit das Potenzial hat, die bisherigen Angriffe noch weit in den Schatten zu stellen. Vor allem ist »YiSpecter« die erste bereits weitläufig in freier Wildbahn aktive iOS-Malware, die auch für iPhones, iPods und iPads ohne Jailbreak extrem gefährlich werden kann. Der neue Schädling vereint verschiedene, unter anderem von »WireLurker« bekannte, Angriffstechniken, indem er private APIs und Unternehmenszertifikate im iOS-System missbraucht, um schädliche Funktionalitäten zu implementieren. Auch seine Verbreitung ist im Vergleich zu bisherigen iOS-Schädlingen ungewöhnlich. So kann YiSpecter etwa den Traffic nationaler Internetdienstbetreiber hijacken um sich fortzupflanzen, sich aber auch per SNS-Wurm über Windows oder über Offline-App-Installation und Community-Werbung auf neue Geräte verbreiten.

Ist die Malware erst auf einem iPhone oder anderen Apple-Gerät gelandet, kann sie dort unter anderem beliebige iOS-Apps herunterladen, installieren und starten. Dabei ersetzt sie auch bestehende Apps durch solche Downloads infizierter Versionen aus. Des Weiteren blockiert YiSpecter bei Bedarf die Ausführung anderer Apps und blendet stattdessen andere Inhalte wie Werbung auf dem Display ein. Darüber hinaus ist es dem Schädling möglich, die Standardsuchmaschine des Safari-Browsers und gespeicherte Lesezeichen sowie geöffnete Seiten zu ändern. Auf dem befallenen Smartphone oder Tablet gesammelte Geräteinformationen werden direkt zum Command-and-Control (C2)-Server hochgeladen. Zudem ist der Schädling äußerst resistent und kann sich nach einer einfachen Löschung selbst regenerieren.

Bisher konnten vier mit Unternehmenszertifikaten signierte Hauptkomponenten entdeckt werden, aus denen sich YiSpecter zusammensetzt und die durch den Missbrauch privater APIs von einem C2-Server heruntergeladen werden. Indem sie ihre Icons vor dem iOS-Sicherheitsfeature »Springboard« verstecken, machen sie es schwer, sie zu finden und zu löschen. Selbst versierte Nutzer werden ausgetrickst, indem sich die Einzelteile teilweise hinter den Namen und Logos von System-Apps tarnen.

1. Gefährliche iOS-Malware auch ohne Jailbreak
2. YiSpecter erkennen und vernichten

Lesen Sie mehr zum Thema

Weitere Artikel zu Palo Alto Networks GmbH

Cybersicherheit im Public Sector

Warum NIS2 mehr ist als Regulierungsdruck

Für Palo Alto Networks-Partner in DACH

SOC-MSSP-Lösung von Exclusive Networks

Palo Alto: Ransomware-Eskalation

Medusa schlägt professioneller zu

Security-Distribution

TD Synnex vertreibt Lösungen von Palo Alto Networks in Europa

Cybersicherheit für Unternehmenskunden

Florian Hartwig ist Vice President Germany bei Palo Alto