Mac-Schädling WireLurker unschädlich gemacht

Direkt auf die sensationelle Nachricht von der Entdeckung einer auf Mac OS X spezialisierten Familie von Schädlingen, die in der Lage sind, iOS-Geräte zu infizieren, folgt die nächste Neuigkeit: Die Gefahr ist gebannt. Vertreter des IT-Sicherheitsunternehmens Palo Alto Networks bestätigten die Blockierung der Befehlsinfrastruktur von WireLurker, und Apple rief das digitale Zertifikat zurück, das die Cyberkriminellen zur Signatur ihres Schadcodes benutzt hatten, um den Download auf gelockte iPhones und iPads zu erleichtern.

„WireLurker gibt es nicht mehr“, erklärte Ryan Olson, Intelligence Director der Forschungsabteilung von Palo Alto. “Diese Attacke ist deshalb bemerkenswert, weil erstmals eine neue Technologie ausprobiert wurde, die sich als überaus effektiv erwiesen hat.“ Das tatsächliche Ziel der Attacken unter Verwendung von WireLurker, die sich auf China beschränken, ist nicht bekannt, obgleich dieser Schädling in der Lage ist, System- und Anwenderinformationen von mobilen Geräten zu stehlen. Dabei zeigt er kein Interesse an Account- und Bankverbindungsdaten.

Nach Angaben der Experten greift WireLurker ein iOS-Gerät an, wenn es via USB mit einem infizierten Computer verbunden ist. Der Schädling sieht den Inhalt des Gadgets durch und versucht dabei, in China populäre Anwendungen ausfindig zu machen: Die Foto-Bearbeitungs-App Meitu, ein Programm zum Shoppen auf Taobao oder einen Client des Bezahldienstes AliPay. Wird ein solches Programm gefunden, so tauscht WireLurker es gegen das mit einem Trojaner versetzte Pendant aus. Der Verbreiter solcher Repacks ist der chinesische Online-Shop Maiyadi, ein bekannter Hoster von Piratenkopien von Programmen für OS X und iOS. Die Experten entdeckten im Angebot des Shops 467 infizierte Anwendungen, die mit Stand vom 16. Oktober von mehr als 100.000 Anwendern geladen wurde, wobei insgesamt 350.000 Downloads durchgeführt wurden.

Palo Alto beobachtet WireLurker seit dem 1. Juni und registrierte innerhalb dieser Zeit drei Versionen dieses Schädlings. Am stärksten beeindruckt hat die Forscher die Fähigkeit dieses Schadprogramms, gelockte iOS-Geräte anzugreifen: Und zwar ist es so, dass die von WireLurker installierten trojanischen Versionen populärer Programme mit einem durch und durch legalen Zertifikat signiert sind. Letzteres gehört einem chinesischen Unternehmen, rechtmäßiger Teilnehmer des von Apple ins Leben gerufenen Programms von Unternehmensentwicklern für iOS, und wurde allem Anschein nach schlicht und einfach gestohlen. Zum gegenwärtigen Zeitpunkt ist das Zertifikat bereits zurückgerufen.

Wie man feststellen konnte, wurde der Schädling selbst nicht über die Server von Maiyadi verbreitet, sondern von dessen Cloud-Speichern Huawei und Baidu. Bei Aktivierung lädt er zunächst eine Reihe ausführbarer Module, Bibliotheken und Konfigurationsdateien. Auf einem infizierten Gerät laufen fortwährend zwei Prozesse: Einer unterhält die Verbindung zum C&C-Server und sucht nach Updates, der andere überwacht die USB-Verbindungen und stellt fest, ob ein Jailbreak auf dem mobilen Gerät durchgeführt wurde, indem er versucht, sich mit dem Service AFC (Apple File Conduit) zu verbinden, der Root-Zugriff auf das Gerät eröffnet.

Palo Alto konnte nur einen Steuerungsserver von WireLurker aufspüren, und zwar in Hongkong. Er liefert die Updates und iOS-Anwendungen, bearbeitet die Berichte über den Status der „niedergelassenen“ Schädlinge und nimmt gestohlene Daten über beide angegriffenen Plattformen entgegen. Frühere Versionen von WireLurker tauschen sich mit dem C&C mit offenem Text aus, neuere Versionen wenden eine kundenspezifische Verschlüsselung an.

„Wahrscheinlich ist das ein Machwerk einer talentierten Gruppe von Entwicklern für Mac und iOS, die vermutlich nur wenig Erfahrung mit dem Schreiben von Schadsoftware und dem Schutz derselben vor Entdeckung haben“, vermutet Olson. „In diesem Fall ist das Debüt gelungen. Ihre Motive sind bisher unklar, möglicherweise können wir diese Frage mit der Zeit zu klären.“

Quelle:        paloalto networks

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.