Ohne Jailbreak
iOS-Malware YiSpecter: Forscher sichten neuen Schädling
Auf XcodeGhost folgt YiSpecter. Keinen Monat, nachdem es unbekannten Entwicklern gelang, mithilfe einer gefälschten Version des Apples-Entwicklerwerkzeuges Xcode modifizierte und potenziell auch mit Schadcode behaftete Apps in den App Store einzuschmuggeln, zeigt sich mit YiSpecter jetzt ein weiteres Problem, das manipulierte Anwendungen zum Angriff auf werksfrische iOS-Geräte ausnutzen könnten.
(Bild: Shutterstock)
Die Sicherheitsforscher des Palo Alto Netzwerkes haben die neue iOS-Malware entdeckt und ihr den Namen YiSpecter gegeben. YiSpecter unterscheidet sich von zuvor beobachteter iOS-Malware dadurch, dass sie Angriffe sowohl auf Jailbroken als auch Nicht-Jailbroken-iOS-Geräte durchführt.
Dabei fällt YiSpecter durch besonders schädliche bösartige Aktivitäten auf. Es handelt sich um die erste in freier Wildbahn beobachtete Malware, die private APIs (Application Programming Interface) im iOS-System missbraucht, um schädliche Funktionalitäten zu implementieren. […] Die Malware ist seit mehr als zehn Monaten in freier Wildbahn, aber nur eine von 57 Sicherheitssoftwareanbietern in VirusTotal ist zum derzeitigen Stand in der Lage, die Malware zu erkennen.
Nach derzeitigem Erkenntnisstand sollen bisher vor allem iOS-Nutzer aus China und Taiwan betroffen sein. Vor allem die ungewöhnliche Verbreitung der modifizierten Apps (Traffic-Hijacking von nationalen Internetdienstbetreibern, einen SNS-Wurm auf Windows sowie über Offline-App-Installation und Community-Werbung) scheint webweite „Infektionen“ bislang noch zu begrenzen.
Nach Angaben des Palo Alto-Experten Claud Xiao zeichnet sich YiSpecter durch mehrere charakteristische Eigenschaften aus. Zu diesen zählen:
- Egal ob ein iPhone jailbroken ist oder nicht, kann die Malware erfolgreich heruntergeladen und installiert werden.
- Auch wenn die Malware manuell gelöscht wird, erscheint sie automatisch wieder.
- Mithilfe von Drittanbieter-Tools können einige seltsame zusätzliche „System-Apps“ auf infizierten Handys erkannt werden.
- Auf infizierten Handys erscheint in einigen Fällen, wenn der Benutzer eine normale App öffnet, eine Vollbild-Werbeanzeige.
Erst kürzlich zuvor zeigte sich bei der Malware WireLurker, wie Nicht-Jailbroken-iOS-Geräte durch den Missbrauch von Unternehmenszertifikaten infiziert werden können. Die Entwickler-Community diskutiert zudem schon eine ganze Weile, wie private APIs verwendet werden, um kritische Funktionalitäten in iOS zu implementieren. YiSpecter ist nun die erste iOS-Malware, die diese beiden Angriffstechniken kombiniert und dadurch Schaden bei einem breiteren Spektrum von Anwendern verursachen könnte.
Wir halten euch auf dem Laufenden.
Das ist ja grausam O.O/
Die schadware kommt wahrscheinlich genau so auch auf die Geräte, wie auch der aktuelle JB, direkt über den Browser, ohne das eine Lücke im Safari wäre oder in deren Komponenten, würde der JB ja nicht durch kommen, oder?
Über eine gut besucht Website und die Einbindung in jene, könnte man sehr schnell ein „ADBn“ (Apple-Device-Botnet) aufbauen.
Geil
Ich muss hier so einige Kommentare nicht verstehen! Was bittest daran geil?
Erst denken, dann posten ist manchmal extrem hilfreich
Geil? Im Android Lager macht man sich ja keine Sorgen um gefahren- da ist das Betriebssystem Gefahr genug!
Aha. Offenbar ist iOS auch nicht mehr viel besser. Ich denke darauf bezieht sich das „geil“ auch.
Nicht viel besser. Der Unterschied liegt in der Anzahl. Das ist wenig schon entscheidend und viel besser.
@ Odde Wenigstens einer der mich versteht, aber ich kann ja auch nicht heulen wegen einer Sicherheitslücke. Also was wird hier verlangt? @Der_Rest :-)
Der aktuelle jailbreak? Kommt über den Browser? Habe ich das was verpasst?
Die Zeiten von jailbreakme.com sind doch schon lange lange vorbei.
Der letzte verfügbare jailbreak musste – wie in letzter Zeit üblich – per Kabel am pc erfolgen.
Aber bitte belehre mich eines besseren.
Einen Semi-Jailbreak gibt es:
http://pangu8.com/9.html
*facepalm*
Das ist kein Jailbreak, nur eine billige Mischung aus WebClip und Profilen. Pangu8 ist ein billiger Fake und schon fast gefährlich… Faustregel: Bei einem echten Jailbreak muss heutzutage mindestens einmal neugestartet werden, um den Code ins System zu bringen…
Eine voraussehbare Entwicklung.
1: enthalten Smartphones heutzutage Informationen die recht selten in einem solchen Umfang auf PC vorhanden sind ( GPS, SMS, Mails, Bankdaten, Passwort Apps, Kreditkartendaten usw.) d.h. sie sind ein lohnenswertes Ziel
2: sind Smartphones durch Ihrer restriktive und vereinfachte Benutzeroberfläche für die meisten Nutzer nur noch Blackboxen und nicht mehr durch einzelne sicher einzurichten und zu Administrieren
3: der User ist heutzutage das größere Sicherheitsrisiko ! da hilft die beste Sicherheitstechnik nichts !!
Kreditkarten-, Bankdaten und Passwörter etc. sind am besten im Kopf und nicht sontswo gespeichert.
Versuch mal von 30 Websites ein 8-10 stelliges password zu merken.
Ich kann mir zwar gut Sachen merken aber sobald ich etwas nicht benutze vergesse ich es ( sogar meine EC-PIN)
So sieht es leider aus. Lieber 50 Verschiedene Passwörter auf dem Zettel als 5 sich wiederholende im Kopf. Meine Meinung.
Ehrlich gesagt, verstehe ich den Artikel nicht wirklich. Wo genau liegt jetzt das Problem? Wie könnte die Schadsoftware auf mein Gerät gelangen – über den offiziellen App Store – über Safari? Was sind private APIs? Was kann die Schadsoftware anrichten außer Werbebanner anzeigen?
Ein paar mehr Informationen bzw. ausführlichere Erläuterungen wären schön gewesen oder ist das mal wieder nur klickgenerierende Panikmache.
Genau diese Frage wäre beantwortet wenn es ein guter Artikel wäre ..
Aktuell gehe ich davon aus das wenn du:
– dein iPhone nicht in fremde Hände gibst .. also einen Stecker stecken lässt
– nicht hinter einer großen bösen Firewall surfst
– denn original AppStore nutzt
.. nichts passiert und alles gut ist.
Also Panik mache und Klicks fangen
Genau, so sehe ich das auch. Futter einer ausgehungerten Menge hinwerfen und mal schauen, was passiert.
Wichtig ist doch nur, wie verbreitet sich das Teil.
Bei den privaten APIs handelt es sich um nicht dokumentierte Funktionen, über die etwa System-Anwendungen eigentlich nicht erlaubte Aktionen durchführen können. So gibt es das Framework MobileInstallation, über das eine App weitere Apps am App-Store vorbei lokal installieren kann. Mit deren Hilfe kann Yispecter zusätzliche, von einem Command-and-Control-Server heruntergeladene Apps installieren.
Apple erlaubt Apps von Dritt-Anbietern keine Nutzung dieser privaten APIs und überprüft das eigentlich auch im Rahmen des Freigabe-Prozesses für den App-Store. Durch die Verwendung von Enterprise-Zertifikaten soll Yispecter jedoch in der Lage sein, auch ohne Jailbreak am App-Store vorbei auf iOS-Geräte zu gelangen.
Vielen Dank für die ausführliche und verständliche Erklärung!
Generelle Empfehlung: Nutzer sollten in den iOS-Einstellungen unter Allgemein unter “Profile” prüfen, ob dort unbekannte Profile auftauchen und diese entfernen.
+1 genau das frage ich mich auch.
Ob die neue Programmiersprache wohl anfälliger ist?
Hast das gemacht? Ernsthaft?
War an Tris weiter oben gerichtet. Kann per Doppelklick nicht auf Kommentare zu der App antworten…
Leute. So ist das eben und wird immer so bleiben. KEIN SYSTEM IST 100% SICHER, egal ob Apple, Google, MS oder wie die sonst alle heißen. Macht euch nix vor.
Wenn ich den verlinkten englischen Text richtig verstanden habe, läuft das immer noch über ein Unternehmenszertifikat, dass man zumindest beim starten explizit genehmigen muss bzw unter iOS9 in den Einstellungen manuell erlauben muss, damit die malware funktioniert. Also alles halb so schlimm.
Was sich mir aber nicht erschließt: installiert sich die App nur durch das besuchen der Homepage, öffnet sich da ein Pop-Up, wo man nur „Ja“ drücken kann, oder kommt das das normale Fenster, in dem man der Installation der App + Zertifikat zustimmen oder es ablehnen kann?
Die Malware fragt anscheinend via Pop-up, ob man eine App instalieren möchte. Dies sollte man ablehnen können. Dies wahrscheinlich über eine Werbebanner, der auch auf seriösen Seiten sein kann. Die App tarnt sich als „normale“ resp.. unbedenkliche App. Da die Malware anschliessend Daten (z.B. welche Apps sind installiert) vom Endgerät zieht, kann sie sich als eine bestehende App in einem Unterordner tarnen. Somit bring das löschen der ursprünglichen App nichts. Grundsätzlich empfiehlt es sich immer eine App direkt aus dem AppStore zu laden.
Jedoch wurde anscheinend festgestellt, dass auch Apps im AppStore nicht unkritische privaten APIs haben, welche durch die Zutrittskontrolle gekommen sind. Es ist zu erwarten das Apple zumindest hier rasch nachbessern wird.
Da die Malware schon länger im Umlauf sein soll, ist noch nicht klar ob unter iOS 9 die Sicherheitslücke weiterhin besteht.
Ich gehe davon aus, dass Apple und ifun und zu einem späteren Zeitpunkt noch mehr Infos liefern.
…und was ich „geil“ finde, ist, dass Apple alle Antivirensoftware aus dem App Store verbannt hat, weil man sie ja nicht braucht.
Danke Apple. Um es mit den Worten von Apple zu sagen: „Awesome“ new features.
ROFLMAO!
Du solltest mal die Relation sehen…. Selbst wenn eine China Mann sich so etwas einfängt, das Teil zeigt klar an das es da ist und schwupp hat es aus gesorgt. Fakto, der fix kommt, was beim offenen Android schon gar nicht möglich wäre.
Das update ist eine Katastrophe gewesen, antworten landen als neuen Kommentar und es passiert nichts…Jetzt erzähl mir einer das das Team es nicht sieht….. Die App ist völlig fürn Arsch….. In dieser Form!
Richtig! Zu welchem Kommentar das jetzt gehört, muss halt jeder selber suchen ;-(
Das hat vielmehr mit der Nachlässigkeit von Apple zu tun und das ist jetzt die Konsequenz dafür
Schriftgröße kann man in der app immer noch nicht ändern. Und der Werbebanner unten nervt.
Der Werbebanner ist mir egal, aber Antworten funktioniert nicht, letzten Kommentar kann man nicht löschen und die App schmiert sehr gerne mal ab.
iPhone 5C in blau, 16Gb und 84% geladen.
Nein, habe ich nicht.
Geil sind die enttäuschten Gesichter derer, die dachten, das Schadsoftware ein Jailbreaker Problem seien. Nun gucken sie doof aus der Wäsche. Haha, Apple ist genauso ein kommerzieller JuiceStore wie alle anderen auch. Findet euch damit ab.
Solange man Unternehmenszertifikate abnicken muss, ist iOS sicher. Selbst Schuld wenn ihr immer auf Ja klickt.
Daran dachte ich auch. Ich hab noch die Texte vor meinen Augen als viele über den jailbreak herzogen weil es das iPhone unsicher macht. Und nun sowas. Hihi
Das schlimme daran ist das es den Machern überhaupt nicht interessiert.
Immer nur heiße Luft bla bla.
Wie lange gibt es die App mittlerweile. So gut wie nix passiert