Übers Wochenende tauchte ein Bericht zu einer iOS-Malware auf, die auch Nicht-Jailbroken iOS-Geräte durch den Missbauch privater APIs angreift. Die Sicherheits-Experten von Palo Alto Networks haben die Lücke YiSpecter genannt.
YiSpecter Sicherheitslücke
Palo Alto Networks beschreibt YiSpecter unter anderem wie folgt
Bisher betrifft die Malware vor allem iOS-Nutzer in China und Taiwan. Sie verbreitet sich über ungewöhnliche Wege, einschließlich Traffic-Hijacking von nationalen Internetdienstbetreibern, einen SNS-Wurm auf Windows sowie über Offline-App-Installation und Community-Werbung. Viele Opfer haben YiSpecter-Infektionen auf ihren iPhones (jailbroken und nicht-jailbroken) in Online-Foren diskutiert und die Aktivitäten an Apple gemeldet. Die Malware ist seit mehr als zehn Monaten in freier Wildbahn, aber nur eine von 57 Sicherheitssoftwareanbietern in VirusTotal ist zum derzeitigen Stand in der Lage, die Malware zu erkennen. YiSpecter besteht aus vier verschiedenen Komponenten, die mit Unternehmenszertifikaten signiert sind.
Durch den Missbrauch privater APIs laden sich diese Komponenten von einem Command-and-Control (C2)-Server herunter und installieren sich. Drei der bösartigen Komponenten verwenden Tricks, um ihre Icons vor iOS Springboard zu verbergen, damit der Benutzer sie nicht suchen und löschen kann. Die Komponenten nutzen den gleichen Namen und die Logos von System-Apps, um iOS-Power-User auszutricksen.
Auf infizierten iOS-Geräten kann YiSpecter beliebige iOS-Apps herunterladen, installieren und starten. Die Malware kann bestehende Anwendungen mit diesen Downloads ersetzen und die Ausführung anderer Apps behindern, um Werbung anzuzeigen. Sie kann zudem die Safari-Standardsuchmaschine sowie Lesezeichen und geöffnete Seiten ändern und Geräteinformationen zum C2-Server hochladen. Berichten betroffener Nutzer zufolge konnten alle diese Verhaltensweisen bei YiSpecter-Angriffen in den vergangenen Monaten beobachtet werden.
Apple stopft YiSpecter mit iOS 8.4
The Loop konnte ein offizielles Statement zu YiSpecter von Apple einholen
„This issue only impacts users on older versions of iOS who have also downloaded malware from untrusted sources. We addressed this specific issue in iOS 8.4 and we have also blocked the identified apps that distribute this malware. We encourage customers to stay current with the latest version of iOS for the latest security updates. We also encourage them to only download from trusted sources like the App Store and pay attention to any warnings as they download apps.“
Kurzum: Das Problem betrifft nur ältere iOS-Versionen und Nutzer, die Malware aus nicht vertrauensvollen Quellen heruntergeladen werden. Apple hat die Sicherheitslücke mit iOS 8.4 gestopft und identifizierte Apps blockiert, die die Malware verteilen. Apple empfiehlt auf die jüngste iOS-Version upzudaten und nur Inhalte aus vertrauensvollen Quellen wie dem App Store zu laden.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
0 Kommentare