News

Adware missbraucht Apple-Zertifikate

YiSpecter ist eine Schadsoftware zum Anzeigen von Werbung unter iOS und ist bisher nur in China und Taiwan verbreitet, berichtet Help Net Security und verweist auf die Forschungsarbeit von Palo Alto Networks. Eine Analyse hat gezeigt, dass dieser modulare Schädling sich geschickt tarnt und drei Unternehmenszertifikate von Apple verwendet – das heißt, der Schädling stellt sowohl für Gerät mit Jailbreak als auch für solche ohne Jailbreak eine Gefahr dar.

Laut Angaben von Experten wird YiSpecter mit ungewöhnlichen Methoden verbreitet, unter anderem durch das Abfangen des Traffics von nationalen Internet-Providern, über soziale Services mit Hilfe eines Windows-Wurms, durch die Offline-Installation von Apps und durch direkte Werbung in Internet-Foren. Dieser Adware-Schädling treibt schon seit 10 Monaten sein Unwesen im Internet, doch den Scanergebnissen von VirusTotal zufolge ist er bis heute nur schwer zu detektieren.

Laut Palo Alto kommt YiSpecter normalerweise als legitime App zum Abspielen von Videos daher. Nach dem Start lädt der Schädling die eigentliche Schadkomponente NoIcon, die ihrerseits ADPage und NoIconUpdate lädt und installiert. NoIcon kann die wichtigsten Daten über ein infiziertes Gerät sammeln und sie an den C&C-Server senden, entfernte Befehle ausführen, die Safari-Standardeinstellungen ändern, legitime Apps deinstallieren oder ihren Start verfolgen, um dann Werbung mit Hilfe von ADPage anzuzeigen. NoIconUpdate, ist – wie der Name vermuten lässt – dazu da, die Aktualität und Funktionsfähigkeit von YiSpecter aufrecht zu erhalten.

Die Installation des Schädlings unter Umgehung strenger Überprüfungen von Apple auf Geräten ohne Jailbreak wird durch die digitalen Zertifikate ermöglicht. Die Forscher haben herausgefunden, dass YiSpecter auf der ersten Infektionsetappe legale Zertifikate verwendet, die für die Entwickler Changzhou Wangyi Information Technology Co., Ltd. und Baiwochuangxiang Technology Co., Ltd. ausgestellt wurden. Die drei folgenden Komponenten – NoIcon, ADPage und NoIconUpdate – verwenden ein Zertifikat von Beijing Yingmob Interaction Technology co, .ltd. Dadurch ist es YiSpecter möglich, API-Schnittstellen von iOS für die Durchführung von Operationen zu nutzen, die die Sicherheit des Geräts untergraben können.

YiSpecter ist nicht der erster Schädling, der in der Lage ist, iOS-Geräte ohne Jailbreak zu befallen. Über eine solche Fähigkeit verfügen Schadprogramme, die mit Hilfe von XcodeGhost erstellt wurden, sowie das Spionageprogramm XAgent und der bereits unschädlich gemachte WireLurker. Palo Alto wies aber darauf hin, dass in der kürzlich erschienenen Betriebssystemversion iOS 9 die Politik in Bezug auf Unternehmenszertifikate verbessert wurde: Bevor er interne Entwicklungen installiert, kann der Nutzer manuell ein entsprechendes Profil erstellen und sie mit Hilfe der Einstellung in die Liste vertrauenswürdiger Apps eintragen

Nach der Installation werden die Komponenten NoIcon, ADPage und NoIconUpdate nicht auf dem Hauptbildschirm (Springboard) des iOS-Geräts angezeigt, da verborgene Icons verwendet werden und sie daher auch nicht sofort entdeckt und deinstalliert werden können. Für fortgeschrittene Nutzer, die ein spezielles Tool zur Verwaltung von iPhone und iPad verwenden, haben die Autoren von YiSpecter eine zusätzliche Tarnung vorgesehen: Die drei Schlüsselmodule werden unter den Namen und Icons bekannter iOS-Apps dargestellt. So gab sich NoIcon im Rahmen eines Testlaufs als Passbook aus, ADPage als Cydia und NoIconUpdate als Game Center.

Palo Alto hat Apple über die neue Bedrohung informiert, eine Reaktion erfolgte bisher allerdings noch nicht.

Quelle: Net Security

Adware missbraucht Apple-Zertifikate

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach