Adware missbraucht Apple-Zertifikate

YiSpecter ist eine Schadsoftware zum Anzeigen von Werbung unter iOS und ist bisher nur in China und Taiwan verbreitet, berichtet Help Net Security und verweist auf die Forschungsarbeit von Palo Alto Networks. Eine Analyse hat gezeigt, dass dieser modulare Schädling sich geschickt tarnt und drei Unternehmenszertifikate von Apple verwendet – das heißt, der Schädling stellt sowohl für Gerät mit Jailbreak als auch für solche ohne Jailbreak eine Gefahr dar.

Laut Angaben von Experten wird YiSpecter mit ungewöhnlichen Methoden verbreitet, unter anderem durch das Abfangen des Traffics von nationalen Internet-Providern, über soziale Services mit Hilfe eines Windows-Wurms, durch die Offline-Installation von Apps und durch direkte Werbung in Internet-Foren. Dieser Adware-Schädling treibt schon seit 10 Monaten sein Unwesen im Internet, doch den Scanergebnissen von VirusTotal zufolge ist er bis heute nur schwer zu detektieren.

Laut Palo Alto kommt YiSpecter normalerweise als legitime App zum Abspielen von Videos daher. Nach dem Start lädt der Schädling die eigentliche Schadkomponente NoIcon, die ihrerseits ADPage und NoIconUpdate lädt und installiert. NoIcon kann die wichtigsten Daten über ein infiziertes Gerät sammeln und sie an den C&C-Server senden, entfernte Befehle ausführen, die Safari-Standardeinstellungen ändern, legitime Apps deinstallieren oder ihren Start verfolgen, um dann Werbung mit Hilfe von ADPage anzuzeigen. NoIconUpdate, ist – wie der Name vermuten lässt – dazu da, die Aktualität und Funktionsfähigkeit von YiSpecter aufrecht zu erhalten.

Die Installation des Schädlings unter Umgehung strenger Überprüfungen von Apple auf Geräten ohne Jailbreak wird durch die digitalen Zertifikate ermöglicht. Die Forscher haben herausgefunden, dass YiSpecter auf der ersten Infektionsetappe legale Zertifikate verwendet, die für die Entwickler Changzhou Wangyi Information Technology Co., Ltd. und Baiwochuangxiang Technology Co., Ltd. ausgestellt wurden. Die drei folgenden Komponenten – NoIcon, ADPage und NoIconUpdate – verwenden ein Zertifikat von Beijing Yingmob Interaction Technology co, .ltd. Dadurch ist es YiSpecter möglich, API-Schnittstellen von iOS für die Durchführung von Operationen zu nutzen, die die Sicherheit des Geräts untergraben können.

YiSpecter ist nicht der erster Schädling, der in der Lage ist, iOS-Geräte ohne Jailbreak zu befallen. Über eine solche Fähigkeit verfügen Schadprogramme, die mit Hilfe von XcodeGhost erstellt wurden, sowie das Spionageprogramm XAgent und der bereits unschädlich gemachte WireLurker. Palo Alto wies aber darauf hin, dass in der kürzlich erschienenen Betriebssystemversion iOS 9 die Politik in Bezug auf Unternehmenszertifikate verbessert wurde: Bevor er interne Entwicklungen installiert, kann der Nutzer manuell ein entsprechendes Profil erstellen und sie mit Hilfe der Einstellung in die Liste vertrauenswürdiger Apps eintragen

Nach der Installation werden die Komponenten NoIcon, ADPage und NoIconUpdate nicht auf dem Hauptbildschirm (Springboard) des iOS-Geräts angezeigt, da verborgene Icons verwendet werden und sie daher auch nicht sofort entdeckt und deinstalliert werden können. Für fortgeschrittene Nutzer, die ein spezielles Tool zur Verwaltung von iPhone und iPad verwenden, haben die Autoren von YiSpecter eine zusätzliche Tarnung vorgesehen: Die drei Schlüsselmodule werden unter den Namen und Icons bekannter iOS-Apps dargestellt. So gab sich NoIcon im Rahmen eines Testlaufs als Passbook aus, ADPage als Cydia und NoIconUpdate als Game Center.

Palo Alto hat Apple über die neue Bedrohung informiert, eine Reaktion erfolgte bisher allerdings noch nicht.

Quelle: Net Security

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.