iOS-Malware KeyRaider befällt gejailbreakte Geräte

Kai Schmerer,
iOS (Bild: Apple)

KeyRaider befällt über MobileSubstrate Systemprozesse und stiehlt dann Benutzernamen, Passwörter und Geräte-GUIDs von Apple-Konten. Laut Palo Alto Networks hat die Malware bisher Zugangsdaten von 225.000 Apple-Konten entwendet.

Mitarbeiter von Palo Alto Networks haben in Zusammenarbeit mti dem App-Marktplatzbetreiber WeipTech.org eine neue iOS-Malware entdeckt. Die auf den Namen KeyRaider getaufte Schadsoftware ist demnach für den Diebstahl von bisher 225.000 gültigen Anmeldedaten für Apple-Konten verantwortlich. Den Entdeckern zufolge handelt es sich um den bisher “größten bekanntgewordenen Diebstahl von Apple-Kontendaten durch Malware”. Die Schadsoftware befällt allerdings nur gejailbreakte Geräte. Die meisten betroffenen Anwender stammen aus China. Allerdings finden sich unter dem von WeipTech.org entdeckten Datensatz auch einige Nutzer aus Deutschland, Frankreich und Großbritannien.

Von der Malware sind angeblich 92 Varianten in insgesamt 18 Ländern aktiv. Einige Opfer berichteten, dass ihre Apple-Konten eine ungewöhnliche App-Kaufhistorie aufwiesen, andere von verschlüsselten Smartphones, für deren Entschlüsselung sie ein Lösegeld zahlen sollten (Ransomware).

Laut Palo Alto Networks heftet sich die Malware über MobileSubstrate an Systemprozesse und stiehlt dann Benutzernamen, Passwörter und Geräte-GUIDs von Apple-Konten, indem sie den Datenaustausch mit dem App Store abfängt. KeyRaider hat so auch Zugriff auf Zertifikate sowie private Schlüssel von Apples Push-Benachrichtigungsdiensts, stiehlt und gibt App-Store-Bestellinformationen weiter und deaktiviert lokale sowie ferngesteuerte Entriegelungsfunktionen auf iPhone und iPad.

Allerdings ist die Malware nicht direkt im Cydia Store verfügbar. Sie gelangt erst durch das Hinzufügen eines chinesischen Repositories (Weiphone’s Cydia repositories) und dem Herunterladen eines bestimmten Programms auf das Gerät der Nutzer. Im Unterschied zu anderen Cydia-Quellen wie BigBoss oder ModMyi, erlaubt Weiphone den Upload von Programmen von jedem registrierten Nutzer.

Mitarbeiter von WeipTech.org kamen der Malware auf die Spur, als es von Benutzern gemeldete, verdächtige Tweaks für iOS untersuchten. Dabei fanden sie heraus, dass diese alle auf einem Server gespeichert waren. Ziel der Autoren der KeyRaider-Malware ist es, dass Benutzer von zwei iOS-Jailbreak-Tweaks Anwendungen aus dem offiziellen App Store herunterladen und In-App-Käufe tätigen können, ohne dafür bezahlen zu müssen.

Die beiden Tweaks kapern dazu App-Kauf-Anfragen, laden Daten gestohlener Konten oder Kaufbelege von ihrem Kommandoserver herunter und emulieren dann das iTunes-Protokoll, um sich am Apple-Server anzumelden und mit den gestohlenen Daten dann Apps oder andere von den Nutzern der Tweaks gewünschte Artikel zu kaufen. Die Tweaks sind über 20.000-mal heruntergeladen worden, was darauf hindeutet, dass derzeit auch ungefähr so viele Nutzer die 225.000 gestohlenen Anmeldedaten missbrauchen.

Palo Alto Networks empfiehlt allen Besitzern von iOS-Geräten, keinen Jailbreak durchzuführen. Keines der verfügbaren Cydia-Repositories führe derzeit strenge Sicherheitskontrollen für hochgeladene Apps oder Tweaks durch.

[Mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.