Pawn Storm: Trend Micro warnt vor Spionage-Apps für iOS

Im Rahmen der Untersuchungen der Malware-Kampagne Operation Pawn Strom hat Trend Micro zwei speziell für iOS entwickelte Spionage-Apps ausfindig gemacht. Wie das Sicherheitsunternehmen mitteilt, nutzen Cyberkriminelle sie aktiv für zielgerichtete Angriffe aus. Mindestens eine der beiden Apps kann auch Geräte ohne Jailbreak infizieren.

Die Operation Pawn Storm dient wirtschaftlichen und auch politischen Zwecken. Ziel der laufenden Kampagne sind Regierungen, Medien, die Rüstungsindustrie und das Militär. Trend Micro zufolge setzen die beiden iOS-Schadprogramme die fortschrittliche Windows-Malware SEDNIT.

Die Sicherheitsfirma bezeichnet die beiden Spionageprogramme als XAgent und MadCap. Sie stehen immer noch aktiv in Kontakt mit einem entfernten Befehlsserver. XAgent kann beliebige iOS-Geräte befallen. MadCap hingegen lässt sich nur auf iPhones und iPads mit Jailbreak installieren.

Den vollen Funktionsumfang kann XAgent allerdings nur unter iOS 7 entfalten. Aus diesem Grund geht Trend Micro davon aus, dass die Schadsoftware vor September 2014 entwickelt wurde. Sie kann unter iOS 8 nicht ihr Programmsymbol verbergen. Zudem ist sie in der Lage, sich nur unter iOS 7 automatisch neu zu starten, falls ihr Prozess beendet wurde.

XAgent und MadCap legen umfangreiche Datensammlung an

XAgent kann Adressen, Bilder, Standortdaten und Textnachrichten sammeln. Zudem verfügt die Malware über die Möglichkeit, Gespräche aufzuzeichnen, eine Liste aller installierten Apps zu erstellen, die laufenden Prozesse sowie den WLAN-Status zu ermitteln. Per HTTP schickt das Programm die gesammelten Daten an einen Server. Um eine Auswertung zu erleichtern, sind die im HTML-Format erstellten Log-Dateien zum Teil farblich markiert. Die Analyse des Codes zeigt laut Trend Micro zudem, dass die Schadsoftware “sorgfältig gepflegt und immer wieder aktualisiert” wird.

In vielen Bereichen sind XAgent und MadCap vergleichbar. Allerdings ist letzteres auf die Aufzeichnung von Audio spezialisiert. Trend Micro hat noch nicht herausgefunden, wie die beiden Schadprogramme auf iOS-Geräte kommen.

“Wir wissen allerdings dass die iOS-Geräte nicht per se freigeschaltet sein müssen. Wir haben einen Fall gesehen, in dem der Köder lediglich ‘Tippen Sie hier, um die Anwendung zu installieren’ lautet”, heißt es im Trend-Micro-Blog.

Die App benutze das für Entwickler gedachte Ad Hoc Provisioning, bei dem eine App nur durch das Klicken auf einen Link installiert wird. Trend Micro hält es aber auch für wahrscheinlich, dass sich die beiden Schadprogramme per USB über einen zuvor kompromittierten Windows-PC verbreiten.

[mit Material von Stefan Beiersmann, ZDNet.de]