WireLurker – OS-X- und iOS-Schadsoftware über chinesischen App-Laden verteilt

Über einen dubiosen chinesischen App Store für OS X sind infizierte Software-Pakete verteilt worden, über welche Daten ausgelesen werden können. Über USB konnten sich die Datenschädlinge auch auf iOS-Geräte übertragen.

Stefan Rechsteiner

Das Unternehmen «Palo Alto Networks» hat eine Malware für OS X und iOS entdeckt. Die Schadsoftware heisst «WireLurker» und wird über Software verteilt, die vom chinesischen «Maiyadi App Store» für gestohlene Programme geladen werden. Laut dem Sicherheitsunternehmen konnten bisher über 450 betroffene Software-Pakete ausgemacht werden, welche in den vergangenen sechs Monaten über 350’000 Mal heruntergeladen worden sein sollen.

WireLurker verteilt sich aber auch selbst weiter. Ist es auf einem Mac, an welchem über USB iOS-Geräte angeschlossen werden, überträgt es sich auch auf das iPhone, iPad oder iPod touch. Dazu greift die Malware auf die Open-Source-Library libimobiledevice zurück, über welche auf iOS-Geräte zugegriffen werden kann. Dabei wird auch das Trusted Pairing zwischen OS-X- und iOS-Gerät ausgehebelt, so der Sicherheitsexperte Jonathan Zdziarski in einem ausführlichen Bericht über WireLurker.

Die Malware hat es neben anderem vor allem auf iTunes-Store-Daten und Telefonnummern sowie Seriennummern der befallenen Geräte abgesehen. Um sich selbst auf iOS auszuführen, fragt die Software den Nutzer nach dessen Erlaubnis. Danach wird durch Zutun des Nutzers ein Provisioning-Profil auf dem Gerät installiert.
Die abgegriffenen Daten von OS X und iOS werden dann über das Internet an einen Server geleitet. Ausserdem versucht die Malware, weitere bösartige Software auf dem iOS-Gerät zu installieren. Letzteres betrifft aber nur Nutzer, die ihre Geräte durch ein Jailbreak freigeschalteten haben. Auf solchen Geräten werden auch Adressbücher, Nachrichten und E-Mail ausgelesen.

Über ein übernommenes iOS-Enterprise-Zertifikat versuchte WireLurker aber auch auf iOS-Geräten ohne JailBreak eigene Software zu installieren. Kurz nach dem Bekanntwerden der Schadsoftware hat Apple das entsprechende Zertifikat deaktiviert, wodurch die Ausführung auf normalen iOS-Geräten nun nicht mehr vonstatten gehen kann.

Des Weiteren hat Apple mittlerweile über die in OS X integrierte «XProtect»-Technologie hunderte Applikationen blockiert, die von der Malware infiziert waren.

Xprotect ist seit Mac OS X 10.5 «Leopard» Bestandteil von OS X. Mit diesem System lassen sich bekannte Schadsoftware blockieren und Sicherheitslücken unter OS X schnell und effizient schliessen. Das Betriebssystem prüft täglich, ob für eine Anwendung oder ein Plug-in eine spezielle Version vorausgesetzt wird oder sie komplett blockiert wird. Spätestens 24 Stunden nach der Aktualisierung der Sperr-Liste sind alle Macs, sofern sie mit dem Internet verbunden waren, vor einem potentiellen Angriff oder der Ausführung von Schadsoftware geschützt.

Beispielsweise nutzt Apple Xprotect auch dazu, dass auf den Mac-Systemen jeweils der aktuellste Flash-Player installiert werden muss. Dies da die Multimedia-Software von Adobe sehr anfällig auf Sicherheitslücken ist.

Gönner-Abo

Ab CHF 5.– im Monat

👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.

macprime unterstützen