iOS-Malware YiSpecter, die nicht-jailbroken Apple-Geräte angreift

YiSpecter-Malware hat hauptsächlich iPhone-Nutzer in China und Taiwan betroffen

Forscher der Cyber-Sicherheitsfirma Palo Alto Networks haben eine neue Malware identifiziert, die iOS-Geräte angreift, indem sie APIs missbraucht und dann Werbung beim Surfen im Web und in anderen Apps einblendet. Dies ist der erste Fall von iOS-Malware, die nicht-jailbroken Geräte angreift und erfolgreich infiziert, sagen die Forscher.

YiSpecter, wie die Malware genannt wurde, hat hauptsächlich Nutzer in China und Taiwan durch vier verschiedene Methoden betroffen.

Nutzer können sich mit Hilfe des Lingdun-Wurms mit der Malware infizieren. Dieser Wurm, der über das QQ-Soziale Netzwerk und seine Dateifreigabeschnittstelle funktioniert, kann eine Vielzahl von Gerätetypen angreifen. Bösartige HTML-Dateien mit pornografischen Namen werden von dem Wurm hochgeladen, die dann mit anderen Nutzern im Netzwerk geteilt werden. Wenn ein Nutzer auf diese Dateien zugreift, erkennt die Seite, dass der Nutzer ein iOS-Gerät verwendet, um auf diese Seiten zuzugreifen, und zeigt eine Version der YiSpectre-Adware an.

Internetverkehr und DNS-Hijacking ist die zweite Infektionsmethode. Dies geschieht, wenn lokale ISPs von Angreifern infiziert werden, die dann diese nutzen, um Popups für eine iOS-App anzuzeigen, die mit YiSpectre gekoppelt ist. Es endet mit einer erfolgreichen Infektion, sobald die App heruntergeladen und installiert wird. Diese Popups erschienen nur, wenn das Web von einem Heim-WLAN-Netzwerk aus durchsucht wurde. Allerdings erschienen die Popups nicht, wenn ein proxied Browser verwendet wurde. Nur eine Beschwerde beim ISP kann helfen, das Popup verschwinden zu lassen.

Die dritte Infektionsmethode erfolgt durch die Offline-Installation von Apps. Wie bei der ersten Methode erstellen die Angreifer eine bösartige App, die sie als QVOD Player Version 5 bewerben. Die chinesischen Behörden hatten QVOD, einen eingestellten mobilen Video-Player für Erwachsenen-Inhalte, abgeschaltet. Diese Infektionsmethode hängt davon ab, dass Nutzer die App von iOS-App-Portalen herunterladen und manuell installieren. Darüber hinaus gibt es auch Behauptungen von Palo Alto, dass einige Wartungsanbieter und Telefonhändler ebenfalls bösartige Malware gegen Bezahlung installieren.

Die öffentliche Werbung für die App (modifizierter QVOD Player), die im Wesentlichen auf mobilen und unterirdischen Foren erfolgt, ist die letzte von den Forschern festgestellte Infektionsmethode. Nutzer werden in der Regel auf nicht autorisierte iOS-App-Portale (dritte Methode) umgeleitet, um mehr Nutzer zu gewinnen, die möglicherweise zunächst nicht mit der App in Kontakt gekommen wären.

YiSpecter kann sowohl jailbroken als auch nicht-jailbroken Geräte mit Hilfe von vier Komponenten angreifen, die alle mit Unternehmenszertifikaten signiert sind. Diese Komponenten ermöglichen es der Malware, verschiedene von Apple integrierte Sicherheitsprotokolle zu umgehen, indem sie private APIs missbraucht, sich gegenseitig herunterlädt und sich in verschiedenen Phasen der Infektion als eine oder andere legitime Komponente ausgibt.

Palo Alto Networks sagt, dass YiSpecter jailbroken und nicht-jailbroken iOS-Geräte angreifen kann, indem private APIs missbraucht werden, um es seinen vier Komponenten (die mit Unternehmenszertifikaten signiert sind) zu ermöglichen, sich gegenseitig von einem zentralen Server herunterzuladen und in verschiedenen Phasen der Infektion als eine oder andere legitime Komponente aufzutreten.

Die Malware entfernt dann drei der vier von diesen Komponenten hinzugefügten Icons, sobald die Infektionsphase abgeschlossen ist, und versteckt das letzte Icon als eine der System-Apps von Apple.

Sobald sie auf dem Telefon des Nutzers ist, beginnt YiSpectre, andere beliebige iOS-Apps herunterzuladen, zu installieren und zu starten, legitime Apps zu ersetzen und sogar bestehende Apps zu hijacken, wobei bei jedem Start Anzeigeninterstitials angezeigt werden.

Die Malware kann auch die Standard-Suchmaschine von Safari ändern, Lesezeichen ändern, aktuell geöffnete Seiten verändern und Details zum Telefon sowie die Aktivitäten des Nutzers an einen C&C-Server melden.

Die Malware wurde laut den Forschern von Palo Alto erstmals im November 2014 bemerkt. Die Malware infiziert iOS-Geräte seit über 10 Monaten. Derzeit wird sie nur von einer der AV-Engines von VirusTotal erkannt, der chinesischen Antivirusfirma Qihoo, die bereits im Februar 2015 darüber berichtet hatte.

Drei der vier Komponenten, die von YiSpecter zur Infektion von Geräten verwendet werden, sind mit Zertifikaten signiert, die an YingMob Interactive, eine chinesische mobile Werbeplattform, ausgestellt wurden, stellten die gleichen Forscher von Palo Alto fest. Die Malware hat einige der IP-Adressen verwendet, die sich ebenfalls auf einige YingMob-Server beziehen.

Darüber hinaus entwickelte das Unternehmen auch eine App namens HaoYi Apple Helper, die zufällig oder nicht, der Name des Nutzers ist, der Werbenachrichten für den infizierten QVOD Player in unterirdischen Foren gepostet hat (zum Vergleich siehe vierte Infektionsmethode).

Der Name der App wurde jedoch später in Fengniao Helper geändert, die angibt, Nutzern zu helfen, kostenpflichtige iOS-Apps kostenlos aus dem Apple Store zu installieren. Ähnlich wie die Funktionalität des iOS-Trojaners KeyRaider, einer Malware, die Apple-Kontodaten stiehlt und diese dann nutzt, um kostenpflichtige Apps aus dem offiziellen Store zu stehlen und sie kostenlos auf jailbroken Geräten zu installieren, sagt Palo Alto.

Apple wurde von Palo Alto über die Bedrohung informiert und wird beginnen, die Zertifikate zu widerrufen, die zur Installation der vier Komponenten von YiSpecter verwendet werden.

Letzten Monat infizierte eine andere Malware namens XcodeGhost fast 40 beliebte Apps im chinesischen App Store, was sehr ungewöhnlich ist, da Apple Apps zunächst strengen Sicherheitsprüfungen unterzieht. Trotz der einzigartigen Natur beider Malware sagt Palo Alto Networks, dass es keine Beweise dafür gibt, dass XcodeGhost und YiSpecter miteinander verbunden sind.

Der Blogbeitrag von Palo Alto Networks enthält weitere Informationen zu YiSpecter sowie detaillierte Schritte zur Entfernung von Geräten.