iOS-Malware KeyRaider befällt gejailbreakte Geräte

Mitarbeiter von Palo Alto Networks haben in Zusammenarbeit mti dem App-Marktplatzbetreiber WeipTech.org eine neue iOS-Malware entdeckt. Die auf den Namen KeyRaider getaufte Schadsoftware ist demnach für den Diebstahl von bisher 225.000 gültigen Anmeldedaten für Apple-Konten verantwortlich. Den Entdeckern zufolge handelt es sich um den bisher “größten bekanntgewordenen Diebstahl von Apple-Kontendaten durch Malware”. Die Schadsoftware befällt allerdings nur gejailbreakte Geräte. Die meisten betroffenen Anwender stammen aus China. Allerdings finden sich unter dem von WeipTech.org entdeckten Datensatz auch einige Nutzer aus Deutschland, Frankreich und Großbritannien.

Von der Malware sind angeblich 92 Varianten in insgesamt 18 Ländern aktiv. Einige Opfer berichteten, dass ihre Apple-Konten eine ungewöhnliche App-Kaufhistorie aufwiesen, andere von verschlüsselten Smartphones, für deren Entschlüsselung sie ein Lösegeld zahlen sollten (Ransomware).

Laut Palo Alto Networks heftet sich die Malware über MobileSubstrate an Systemprozesse und stiehlt dann Benutzernamen, Passwörter und Geräte-GUIDs von Apple-Konten, indem sie den Datenaustausch mit dem App Store abfängt. KeyRaider hat so auch Zugriff auf Zertifikate sowie private Schlüssel von Apples Push-Benachrichtigungsdiensts, stiehlt und gibt App-Store-Bestellinformationen weiter und deaktiviert lokale sowie ferngesteuerte Entriegelungsfunktionen auf iPhone und iPad.

Allerdings ist die Malware nicht direkt im Cydia Store verfügbar. Sie gelangt erst durch das Hinzufügen eines chinesischen Repositories (Weiphone’s Cydia repositories) und dem Herunterladen eines bestimmten Programms auf das Gerät der Nutzer. Im Unterschied zu anderen Cydia-Quellen wie BigBoss oder ModMyi, erlaubt Weiphone den Upload von Programmen von jedem registrierten Nutzer.

Mitarbeiter von WeipTech.org kamen der Malware auf die Spur, als es von Benutzern gemeldete, verdächtige Tweaks für iOS untersuchten. Dabei fanden sie heraus, dass diese alle auf einem Server gespeichert waren. Ziel der Autoren der KeyRaider-Malware ist es, dass Benutzer von zwei iOS-Jailbreak-Tweaks Anwendungen aus dem offiziellen App Store herunterladen und In-App-Käufe tätigen können, ohne dafür bezahlen zu müssen.

Die beiden Tweaks kapern dazu App-Kauf-Anfragen, laden Daten gestohlener Konten oder Kaufbelege von ihrem Kommandoserver herunter und emulieren dann das iTunes-Protokoll, um sich am Apple-Server anzumelden und mit den gestohlenen Daten dann Apps oder andere von den Nutzern der Tweaks gewünschte Artikel zu kaufen. Die Tweaks sind über 20.000-mal heruntergeladen worden, was darauf hindeutet, dass derzeit auch ungefähr so viele Nutzer die 225.000 gestohlenen Anmeldedaten missbrauchen.

Palo Alto Networks empfiehlt allen Besitzern von iOS-Geräten, keinen Jailbreak durchzuführen. Keines der verfügbaren Cydia-Repositories führe derzeit strenge Sicherheitskontrollen für hochgeladene Apps oder Tweaks durch.

[Mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Kai Schmerer

Kai Schmerer ist Redaktionsdirektor bei NetMediaEurope in Deutschland. Er begann 2000 als Mitglied der Redaktion bei der silicon.de-Schwesterpublikation ZDNet und ist seit 2008 deren Chefredakteur.

Recent Posts

Bumblebee: Cybererpresser setzen auf neue Malware zur Verbreitung von Ransomware

Symantec bringt den Loader Bumblebee in Verbindung mit den Ransomware-Gruppen Conti, Mountlocker und Quantum. Die…

2 Stunden ago

Markt für Microsoft-Partner flaut ab

ISG-Studie: Wettbewerb verschärft sich unter anderem, da Microsoft große und strategisch wichtige Kunden zunehmend direkt…

17 Stunden ago

ZuoRAT: Neue mehrstufige Malware greift SOHO-Router in Europa an

Die Malware ist bereits seit 2020 im Umlauf. Die Hintermänner setzten ZuoRAT nur für zielgerichtete…

21 Stunden ago

Firefox 102: Mozilla schließt 21 Sicherheitslücken

Für mehr Sicherheit sorgt auch ein strikteres Sandboxing des Audio-Decoding. Die Entwickler verbessern zudem den…

24 Stunden ago

Arm stellt zweite Generation der Armv9-CPUs vor

Die überarbeiteten Kerne Cortex-X3 und Cortex-A715 steigern die Peak Performance um bis zu 25 Prozent.…

1 Tag ago

“Gesamtbewertung von Atos liegt unter dem Marktdurchschnitt”

Ein Kommentar des Marktforschungs- und Beratungsunternehmens ISG zur Aufspaltung des IT-Dienstleisters Atos.

2 Tagen ago