Apple iOS: Malware „YiSpecter“ attackiert auch Geräte ohne Jailbreak

5. Oktober 2015 Kategorie: Apple, Backup & Security, Mobile, Software & Co, geschrieben von:

quick-actions-on-ios-9Mitarbeiter der Palo Alto Networks haben eine neue Malware für Geräte mit dem Apple iOS entdeckt. „YiSpecter“ getauft, unterscheidet sich der Schädling darin von anderen Vertretern, dass er nicht nur Geräte mit Jailbreak, sondern auch Gadgets ohne jene Freischaltung attackieren kann. Es handelt sich laut Palo Alto Networks um die erste iOS-Malware, die Private-APIs im iOS-System missbraucht. Bisher kann man hierzulande zumindest beruhigen, dass YiSpecter in erster Linie iOS-Nutzer in China und Taiwan betrifft.

Der Schädling verbreitet sich auf eher ungewöhnliche Weise, etwa über einen SNS-Wurm unter Windows oder einer Offline-App-Installation. Aktiv ist die Malware offenbar bereits seit ca. 10 Monaten – allerdings erkennen die meisten Virenscanner YiSpecter schlichtweg nicht. Vielleicht liegt es daran, dass sich die Malware über vier verschiedene Bestandteile tarnt, die alle mit Enterprise-Zertifikaten ausgestattet sind. Über private APIs laden und installieren sich die Komponenten dann gegenseitig. Drei der schädlichen Bestandteile verstecken über Tricks ihre Symbole vor dem iOS SpringBoard. Das erschwert es natürlich Nutzern die Infektion überhaupt zu entdecken bzw. die Dateien zu finden und zu löschen.

Zusätzlich nutzt YiSpecter für seine Dateien die Namen und Logos von iOS-System-Apps, um auch Power-Usern nicht aufzufallen. Hat die Malware ein System infiziert, kann sie weitere iOS-Apps installieren und starten, bestehende Apps gegen schädliche austauschen und beispielsweise in anderen Apps Werbung einblenden oder in Safari die Standard-Suchmaschine verändern. In Safari kann YiSpecter zudem Lesezeichen manipulieren und geöffnete Sites verstellen sowie auch noch Informationen an einen Server weitertratschen. Leider ist YiSpecter ziemlich hartnäckig und kann selbst nach dem Löschen erneut auftauchen.

In China hat sich YiSpecter vor allem dank der Gier der User nach kostenlosen Pornos verbreitet: So posierten Bestandteile des Schädlings als der Mediaplayer „QVOD“, der in China beliebt zum Ansehen und Teilen nackter Tatsachen ist. Die Original-App bzw. der Dienst wurde in China bereits eingestellt. Das nutzten die Köpfe hinter YiSpecter aus, um als neue „Version 5.0“ von QVOD die Runde zu machen. Auch über DNS-Hijacking, also schädlichen JavaScript- oder HTML-Code, sucht sich YiSpecter allerdings seine Wege und gibt sich für andere Apps aus.

Alternativ haben die Macher von YiSpecter Offline-Installationen forciert und dafür Prämien ausgeschrieben. In einigen Communities bewarb man die Malware zudem als QVOD-Player-Ersatz und wollte so naive Nutzer direkt ködern. Geschickt ist der Missbrauch von Enterprise-Zertifikaten, welche auf die Unternehmen „“Changzhou Wangyi Information Technology Co., Ltd.” sowie “Baiwochuangxiang Technology Co., Ltd.” und “Beijing Yingmob Interaction Technology co, .ltd“ zugelassen sind. Das erlaubt z. B. in Firmen auch die In-House-Verteilung. Auf diese Weise kann man Apples Review-Prozeduren umgehen. Nachteil für die Malware: Betroffene User erhalten zumindest einmal bei der Installation einen Warnhinweis.

YiSpecter sucht dabei im Hintergrund auch nach Updates und kann einzelne, gelöschte Komponenten insgeheim neu auf infizierte Geräte schaufeln. Deswegen ist es schwierig, die Malware komplett loszuwerden. Geld verdienen die Macher durch die Einblendung eigener Werbeanzeigen, die Umleitung von Usern auf bestimmte Websites und die Installation weiterer Apps. Zudem sammelt und übermittelt YiSpecter Daten an einen C2-Server zu anderen, installierten iOS-Apps, laufenden Prozessen, der UUID eines Geräts sowie der individuellen MAC-Adresse.

yispecter company

Hinter YiSpecter steckt offenbar eine Firma namens „YingMob Interaction“. Offiziell handelt es sich dabei um eine Plattform für mobile Werbung – was zu den Funktionen und Monetarisierungen der Malware passt. YiSpecter zeigt, dass die Zeiten vorbei sind, in denen nur iOS-Geräte mit Jailbreak durch Malware gefährdet waren. Apple ist übrigens durch Palo Alto Networks bereits informiert, damit der Konzern zumindest die missbrauchten Enterprise-Zertifikate zurückziehen kann.

Um Malware wie YiSpecter auszuweichen, empfiehlt sich grob keine iOS-Apps aus nicht vertrauenswürdigen Quellen herunterzuladen und unbekannten Entwicklern keinen Glauben zu schenken. Beachtenswert ist allerdings an YiSpecter vor allen, dass die Malware einen aggressiven Rundumschlag gegen alle iOS-Geräte ausführt – nicht nur solche mit Jailbreak.

Update von Carsten Knobloch: Ein Sprecher von Apple bestätigte, dass die Lücke mit iOS 8.4 geschlossen wurde.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei
Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich
eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das
erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto
auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

André hat bereits 2609 Artikel geschrieben.