Categories: CybersicherheitVirus

YiSpecter: Malware greift auch iOS-Geräte ohne Jailbreak erfolgreich an

Bei der Malware YiSpecter, auf die Experten des IT-Security-Unternehmens Palo Alto Networks hingewiesen haben, handle es sich ihnen zufolge um die erste tatsächlich in Umlauf befindliche iOS-Malware, die sowohl Geräte mit als auch ohne Jailbreak erfolgreich angreife. YiSpecter missbraucht dazu private APIs. Apple wurde bereits über die Malware informiert.

Laut Palo Alto Networks wurde diese Möglichkeit bisher von Sicherheitsexperten lediglich theoretisch diskutiert, sie sei nun aber erstmals in der Praxis für Angriffe genutzt worden.

Das Security-Unternehmen hat in Apples App Store mehr als 100 Apps gefunden, die private APIs missbraucht haben, um die Code-Review von Apple zu umgehen. “Das heißt, die Angriffstechnik des Missbrauchs privater APIs kann auch separat verwendet werden und alle normalen iOS-Benutzer betreffen, die einfach nur Apps aus dem App Store herunterladen”, so das Sicherheitsunternehmen.

Auf infizierten Geräten wird von YiSpecter in einigen Fällen, wenn der Benutzer eine normale App öffnet, eine Vollbild-Werbeanzeige dargestellt (Screenshot: Palo Alto Networks).

Laut Palo Alto ist YiSpecter mindestens seit November 2014 aktiv und verbreitet sich seitdem über ungewöhnliche Wege, die wohl bisher auch die Entdeckung verhindert haben. Zwar seien Symptome für YiSpecter-Infektionen auf iPhones schon in Online-Foren diskutiert und auch an Apple gemeldet worden, dennoch erkenne die Malware aktuell nur ein Anbieter von Sicherheitssoftware.

Die Malware setzt sich aus vier Komponenten zusammen, die alle mit Unternehmenszertifikaten signiert sind. Diese laden sich durch Missbrauch privater APIs von einem Command-and-Control-Server herunter und installieren sich. Drei der Komponenten verbergen ihre Icons vor iOS Springboard, damit es Benutzern schwerer fällt sie aufzuspüren suchen und zu löschen kann. Sie nutzen dazu den Namen und die Logos von System-Apps.

YiSpecter kann – einmal installiert – weitere Apps herunterladen, installieren und starten. Außerdem kann die Malware Anwendungen durch von ihr heruntergeladene Apps ersetzen und die Ausführung anderer Apps behindern, um Werbung anzuzeigen. YiSpecter ist zudem in der Lage, in Safari die Standardsuchmaschine, Lesezeichen und geöffnete Seiten zu ändern und Geräteinformationen zu einem Server der Angreifer hochzuladen.

Bisher richten sich Angriffe mit der Malware YiSpecter vor allem gegen iOS-Nutzer in China und Taiwan. Diese wurden mit der Beschreibung “Private Version” oder “Version 5.0” des Mediaplayers QVOD zur Installation verleitet. Die von Kuaibo entwickelte App QVOD wurde in China bis 2014 von Nutzern zum Teilen von Porno-Videos verwendet. 2014 ging jedoch die Polizei gegen den Entwickler vor, dessen Videoabspieldienst wurde abgeschaltet. Die Hintermänner von YiSpecter begannen daraufhin ihre App als vermeintliche Alternative zu QVOD anzubieten.

Wird YiSpecter manuell gelöscht, erscheint die Malware nach einem Neustart automatisch wieder. Anzeichen für eine Infektion sind zusätzliche „System-Apps“ auf dem Gerät, die mittels Tools von Drittanbietern erkannt werden können. Palo Alto Networks hat Signaturen veröffentlicht, um den Datenverkehr von YiSpecter zu blockieren. Außerdem gibt das Unternehmen Betroffenen Ratschläge, wie sie YiSpecter manuell entfernen können.

[Mit Material von Peter Marwan, ITespresso.de]

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago