Trojaner lädt Schädlinge unter Ausnutzung eines Bugs im DRM auf iOS

Nach Einschätzungen von Palo Alto Networks hat ein neuer Schädling, der auf den Namen AceDeceiver getauft wurde, bereits um die 6 Millionen nicht jailbroken iOS-Geräte chinesischer Nutzer infiziert.

Wie die Forscher herausfanden, infiziert dieser Trojaner mobile Geräte über Windows-PCs und nutzt Fehler aus, die Apple bei der Umsetzung der Digitalen Rechteverwaltung unterlaufen sind. Gegenwärtig wurde AceDeceiver ausschließlich in China gefunden. Lauf Palo Alto ist das der erste Schädling, der in der Lage ist Apple-Gadgets zu infizieren, indem er Unzulänglichkeiten im Schutz-DRM-System FairPlay ausnutzt. Dabei ist ein Jailbreak des Gerätes überhaupt nicht notwendig.

„Erst war es XcodeGhost, dann ZergHelper und jetzt AceDeceiver“, zählt Ryan Olson, Director of Threat Intelligence bei Palo Alto, in einem Kommentar zu seinem neusten Fund gegenüber den Journalisten von Threatpost die gleichartigen Schädlinge auf. „Sie alle tragen ihr Scherflein zur Untergrabung des Schutzes von Apples App Store bei.“ Nach Angaben des Experten eröffnet AceDeceiver Angreifern MitM-Zugriff auf ein iOS-Gerät und kann die Nutzer überdies dazu bringen, ihre Apple ID preiszugeben.

Der neue iOS-Schädling unterscheidet sich von seinen Vorgängern dadurch, dass er keine legitimen Apple-Zertifikate verwendet, um in ein Gerät ohne Jailbreak einzudringen. Stattdessen verwendet er eine unter dem Namen „FairPlay Man-In-The-Middle“ bekannte Technik, die bereits seit zwei Jahren zur Verbreitung von Raubkopien eingesetzt wird. Gemäß der Schlussfolgerung von Palo Alto ist der Trojaner AceDeceiver der erste Fall, in dem eine derartige Modifikation für die Installation von Schadanwendungen auf iOS eingesetzt wird, ohne dass der Nutzer davon weiß.

Eine Untersuchung hat ergeben, dass die Autoren von AceDeceiver sich lange Monate auf die Schadkampagne vorbereitet haben. In der zweiten Hälfte des vergangenen Jahres gelang es ihnen, drei verschiedene Varianten der Schadsoftware AceDeceiver mit der Funktion eines Bildschirmschoners in den App Store einzuschmuggeln. Dieser Schritt war notwendig, um an die Apple-Autorisierungscodes zu kommen, die über iTunes abgefragt werden. Diese Codes nutzten die Verbrecher dann zusammen mit dem eigens erstellten Windows-Programm Aisi Helper, um heimlich schädliche Apps auf den mobilen Geräten zu installieren.

Aisi Helper wird ausschließlich in China verkauft, als Tool zur Arbeit mit iOS, das die Erstellung von Backups und eine Neuinstallation des Systems ermöglicht sowie die Durchführung eines Jailbreaks, die Verwaltung des Geräts und eine Säuberung des Systems. In diesem Fall macht dieser Client auf einem Windows-PC allerdings auch Angreifern das Leben leichter, indem er die Installation von Schädlingen auf einem iOS-Gerät vereinfacht, sobald dieses an den Computer angeschlossen wird. AceDeceiver führt die Installation durch, indem er den FairPlay-Handshake mit Hilfe eines eigenen Autorisierungsservers austauscht. Eine solche Attacke heißt ‚FairPlay Man-In-The-Middle‘ und wurde erstmals im Jahr 2014 angewandt.

Apple wurde im vergangenen Monat vor AceDeceiver gewarnt und hat bereits drei gefälschte Bildschirmschoner aus dem App Store entfernt. Palo Alto gibt allerdings zu bedenken, dass die Attacke trotzdem durchgeführt werden kann. „Solange die Angreifer über einen Autorisierungscode verfügen, brauchen sie nicht zwingend Zugriff auf den App Store, um diese Programme zu verbreiten“, erklären die Forscher in ihrem Blogeintrag. Olson seinerseits erklärte gegenüber den Journalisten, dass solche Übergriffe möglich seien, da die Ergebnisse der vom DRM-Mechanismus von Apple durchgeführten Überprüfung außerhalb des iTunes-Ökosystems genutzt werden können.

Nach der Installation auf einem iOS-Gerät kann AceDeceiver als alternativer App Store fungieren. Er wird von den Online-Verbrechern kontrolliert und bietet eine große Auswahl an verschiedenen Spielen und Tools an. Der Nutzer wird außerdem aufgefordert, seine Apple ID und sein Passwort anzugeben, um ungehinderten Zugriff auf kostenlose Raubkopien zu erhalten.

Das AceDeceiver-Problem zu lösen, wir laut Olson nicht einfach. Im Falle des bereits erwähnten ZergHelper löschte Apple den Schädling einfach aus dem App Store. Der neue Trojaner unterscheidet sich dadurch, dass er auf Windows Client Software basiert und sich einen vorher erhaltenen Autorisierungscode in Kombination mit Fehlern im FairPlay DRM zunutze macht.

Zum Zeitpunkt der Veröffentlichung dieses Blogeintrags hatte Apple noch nicht auf die Bitte um einen Kommentar seitens Threatpost reagiert.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.