AdThief: iOS-Malware befällt 75.000 Geräte mit Jailbreak

Eine recht neue Malware-Art für iOS hat laut Schätzungen die Einnahmen von 22 Millionen Werbeanzeigen gestohlen und betrifft bislang bis zu 75.000 Geräte.

Das Schadprogramm – iOS/AdThief – wurde erstmals im März identifiziert, jedoch nicht vollständig beschrieben, bis Axelle Aprville, ein Experte von Fortinet, die Malware für eine Virus Bulletin-Studie (.PDF), die letzte Woche veröffentlicht wurde, näher unter die Lupe nahm.

Auch bekannt als Spad, funktioniert die Malware rein technisch wie eine Entwickler-ID, die Anzeigen-Entwicklern mitteilen soll, ob ihre Anzeigen angeschaut oder angeklickt wurden, und somit Einkommen generieren. Im Falle der Malware leiten infizierte Geräte diese geringen Zahlungen um, und zwar weg von den Entwicklern und hin zu den Hackern.

Die Malware, die derzeit nur auf Geräten mit Jailbreak funktioniert, nutzt Cydia Substrate, eine Plattform zur Entwicklung von Dritt-Add-ons für iOS, um in die Geräte einzudringen.

“[Cydia] bietet ein API zum Anbinden der legitimen Funktionen und man kann seine eigenen Sachen hinzufügen”, schreibt Aprville. “Und genau das tut die Malware, sie klinkt verschiedene Anzeigenfunktionen ein und modifiziert die Entwickler-ID.”

Insgesamt greift die Malware Einnahmen von 15 verschiedenen Ad-Kits ab. Während sich die Mehrzahl in China befindet, stammen vier (inklusive Google’s AdMob) aus den USA und zwei aus Indien.

  • AderMob (CHINA)
  • AdMob and Google Mobile Ads (USA)
  • AdsMogo (CHINA)
  • AdSage/MobiSage (CHINA)
  • AdWhirl (USA)
  • Domob (CHINA)
  • GuoHeAD (CHINA)
  • InMobi (INDIEN)
  • Komli Mobile (INDIEN)
  • MdotM (USA)
  • MobClick (USA)
  • UMeng (CHINA)
  • Vpon (CHINA)
  • Weibo (CHINA)
  • YouMi (CHINA)

Laut Aprville konnten die Ermittler dank einem Flüchtigkeitsfehler der Hacker – sie haben die Debugging-Informationen der Malware nicht weggelassen –sehen, welche Ad-Kits genau von der Malware kompromittiert werden.

Weiter Nachforschungen beim Entwickler der Schadsoftware (Rover12421) haben ergeben, dass er einen Teil des Codes „vor einiger Zeit“ geschrieben habe, dass es sein einziges iOS-Projekt sei und dass er bestreitet, die Malware zu verbreiten.

Der Bericht hebt hervor, dass der chinesische Sicherheitsforscher Claud Xiao den Schädling AdThief bereits im März entdeckt und in einem Blogpost beschrieben hat. Der Virus Bulletin-Report aus der vergangenen Woche baut auf diesem Posting auf, er strafft Xiaos Informationen und ergänzt mehrere Erklärungen.

Dabei werden Enthüllungen aus dem Juni über das legale Spyware-Tool Remote Control System (RCS) aufgearbeitet, das vom HackingTeam entwickelt wurde, sowie das Wissen, wie eine Handvoll mobiler Malware-Module, ein Trojaner eingeschlossen, benutzt werden kann, um auf iOS-Geräten herumzuspionieren.

Wie AdThief funktioniert auch das iOS-Modul des HackingTeams nur dann, wenn die Nutzer ihre Geräte durch einen Jailbreak für Apps von Drittanwendern zugänglich gemacht haben.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.