ACHTUNG: Noch ein Trojaner bedroht Apple (iOS)

Das neuerliche Auftauchen eines Trojaner zeigt, dass auch Apple-Geräte (Mac OS X und iOS) verstärkt ins Visier der Malware-Entwickler geraten. Die Zeiten, dass nur Windows-Geräte oder in den letzten Jahren immer öfter Android-Geräte das bevorzugte Ziel waren sind vorbei.

Es trat auch früher schon vereinzelt iOS-Malware auf, die benötigten aber ein Enterprise-Zertifikat, dass sie missbrauchten, um sich zu installieren. Der von Palo Alto Networks entdeckte Trojaner AceDeceiver kann sich auch ohne Zertifikat installieren, in dem einen Designfehler des Apples DRM-Schutzmechanismus (Digital Rights Management) FairPlay ausnutzt, damit können schädliche Apps auf iOS Geräten installiert werden, egal ob das Smartphone gejailbreakt ist oder nicht.

Die von AceDeceiver verwendete Technik wird als „FairPlay Man-In-The-Middle“ bezeichnet und wird schon seit 2013 verwendet, um Piraterie-iOS-Apps zu verbreiten. Die Experten von Palo Alto Networks haben nicht zum ersten Mal festgestellt, dass die MITM-Technik zur Verbreitung von Malware eingesetzt wird. Apple wird es dabei nicht leicht haben, diese Angriffstaktik dauerhaft zu verhindern.

Von Juli 2015 bis Februar 2016 wurden drei verschiedene iOS-Apps der AceDeceiver-Familie in den offiziellen App Store hochgeladen und von allen glaubt man, dass die Wallpaper-Apps sind. Diese Apps haben den Apple Code-Review bereits mindestens sieben Mal erfolgreich umgangen. Die Apps zeigen je nach physischer geografischer Region ein unterschiedliches Verhalten. Im Falle von AceDeceiver ist man derzeit nur in Gefahr, wenn man sich in China befindet – aber dies könnte vom Angreifer rasch ohne Probleme geändert werden.

Palo Alto Networks empfiehlt, dass man auf den verwalteten Apple Geräten überprüft, ob einen iOS App mit der Kennung com.aisi.aisiring, com.aswallpaper.mito und com.i4.picture installiert wurde. AceDeceiver kann auch über Enterprise-Zertifikate verbreitet werden, darum sollte das Unternehmen auch nach unbekannten oder ungewöhnlichen Profilen Ausschau halten. Da bisher der gesamte schädliche Datenverkehr von oder zu Subdomains von i4(.)cn fließt, sollte auch auf den entsprechenden Netzwerkverkehr geachtet werden, um potenzielle Aktivitäten von AceDeceiver zu identifizieren.

By | 2016-03-16T22:05:04+00:00 März 16th, 2016|Allgemein, IT, Sicherheit|0 Comments

About the Author:

Leave A Comment