YiSpecter: Malware greift auch iOS-Geräte ohne Jailbreak erfolgreich an

Malware (Bild: Shutterstock/Blue Island

Die Malware YiSpecter genannte Malware missbraucht private APIs im iOS-Betriebssystem. Bisher richten sich Angriffe vor allem gegen iOS-Nutzer in China und Taiwan.

Bei der Malware YiSpecter, auf die Experten des IT-Security-Unternehmens Palo Alto Networks hingewiesen haben, handle es sich ihnen zufolge um die erste tatsächlich in Umlauf befindliche iOS-Malware, die sowohl Geräte mit als auch ohne Jailbreak erfolgreich angreife. YiSpecter missbraucht dazu private APIs. Apple wurde bereits über die Malware informiert.

Palo Alto Networks Logo (Bild: Palo Alto Networks)

Laut Palo Alto Networks wurde diese Möglichkeit bisher von Sicherheitsexperten lediglich theoretisch diskutiert, sie sei nun aber erstmals in der Praxis für Angriffe genutzt worden.

Das Security-Unternehmen hat in Apples App Store mehr als 100 Apps gefunden, die private APIs missbraucht haben, um die Code-Review von Apple zu umgehen. “Das heißt, die Angriffstechnik des Missbrauchs privater APIs kann auch separat verwendet werden und alle normalen iOS-Benutzer betreffen, die einfach nur Apps aus dem App Store herunterladen”, so das Sicherheitsunternehmen.

Auf infizierten Geräten wird von YiSpecter in einigen Fällen, wenn der Benutzer eine normale App öffnet, eine Vollbild-Werbeanzeige dargestellt (Screenshot: Palo Alto Networks).
Auf infizierten Geräten wird von YiSpecter in einigen Fällen, wenn der Benutzer eine normale App öffnet, eine Vollbild-Werbeanzeige dargestellt (Screenshot: Palo Alto Networks).

Laut Palo Alto ist YiSpecter mindestens seit November 2014 aktiv und verbreitet sich seitdem über ungewöhnliche Wege, die wohl bisher auch die Entdeckung verhindert haben. Zwar seien Symptome für YiSpecter-Infektionen auf iPhones schon in Online-Foren diskutiert und auch an Apple gemeldet worden, dennoch erkenne die Malware aktuell nur ein Anbieter von Sicherheitssoftware.

Die Malware setzt sich aus vier Komponenten zusammen, die alle mit Unternehmenszertifikaten signiert sind. Diese laden sich durch Missbrauch privater APIs von einem Command-and-Control-Server herunter und installieren sich. Drei der Komponenten verbergen ihre Icons vor iOS Springboard, damit es Benutzern schwerer fällt sie aufzuspüren suchen und zu löschen kann. Sie nutzen dazu den Namen und die Logos von System-Apps.

YiSpecter kann – einmal installiert – weitere Apps herunterladen, installieren und starten. Außerdem kann die Malware Anwendungen durch von ihr heruntergeladene Apps ersetzen und die Ausführung anderer Apps behindern, um Werbung anzuzeigen. YiSpecter ist zudem in der Lage, in Safari die Standardsuchmaschine, Lesezeichen und geöffnete Seiten zu ändern und Geräteinformationen zu einem Server der Angreifer hochzuladen.

Bisher richten sich Angriffe mit der Malware YiSpecter vor allem gegen iOS-Nutzer in China und Taiwan. Diese wurden mit der Beschreibung “Private Version” oder “Version 5.0” des Mediaplayers QVOD zur Installation verleitet. Die von Kuaibo entwickelte App QVOD wurde in China bis 2014 von Nutzern zum Teilen von Porno-Videos verwendet. 2014 ging jedoch die Polizei gegen den Entwickler vor, dessen Videoabspieldienst wurde abgeschaltet. Die Hintermänner von YiSpecter begannen daraufhin ihre App als vermeintliche Alternative zu QVOD anzubieten.

Wird YiSpecter manuell gelöscht, erscheint die Malware nach einem Neustart automatisch wieder. Anzeichen für eine Infektion sind zusätzliche „System-Apps“ auf dem Gerät, die mittels Tools von Drittanbietern erkannt werden können. Palo Alto Networks hat Signaturen veröffentlicht, um den Datenverkehr von YiSpecter zu blockieren. Außerdem gibt das Unternehmen Betroffenen Ratschläge, wie sie YiSpecter manuell entfernen können.

[Mit Material von Peter Marwan, ITespresso.de]