Helfer für Haima iOS App Store mit bösartigem Verhalten

Originalbeitrag von Trend Micro

In einem früheren Blogeintrag berichtete Trend Micro bereits über den Haima App Store für iOS. Hier wurden offizielle Apps umgepackt und Werbemodule hinzugefügt, die den Besitzern Geld einbrachten. Ein Grund für die Beliebtheit dieses Stores ist die einfache Handhabung dank des „Haima iOS Helper”. Es handelt sich dabei um eine App, die die Installation von Apps erleichtert und auch die Verwaltung des Nutzergeräts. Die Rolle des Helpers ist der von iTunes ähnlich. Leider bringt die Helper-App ihren Anteil an bösartigem Code (TSPY_LANDMIN.A) mit.

Der Helper wird als Download von der Haima-Website angeboten. Der Nutzer soll hier eine bestimmte Version von iTunes (12.3.2.25) herunterladen. Die Datei ist mit der offiziellen Version von Apple identisch, auch wenn es nicht mehr die neueste ist.

Bild 1. iTunes Download-Aufforderung

Der Helper nutzt iTunes nicht direkt, sondern der Zweck des Programms besteht darin, die iPhone-Treiber zu installieren, die diese Version mitbringt.

Hinzufügen des Patch Package

Danach wird ein Patch Package vom Haima-Server heruntergeladen, das folgende Inhalte hat und nach dem Entpacken in das Haima-Verzeichnis geladen werden:

Bild 2. Inhalt des Patch Package

Die Dateien im Patch kommen tatsächlich von Apple. Haima hatte die iTunes-Protokolle der Version 12.3.2.25 analysiert, sodass der Helper die DLLs aus dieser bestimmten Version nutzt. Auch wenn iTunes später upgegradet wird, so kann es dennoch Apps installieren oder Daten von und zu iOS-Geräten synchronisieren.

Installieren von Apps

Haima bietet zwei Möglichkeiten, um Apps zu installieren. Unter iOS müssen alle Apps, die installiert werden, signiert sein. Deshalb nutzt Haima zwei Methoden: Zum einen verwendet der Store Provisioning-Zertifikate, zum anderen nutzt er Apps, die von Apple über den App Store geliefert werden. Das Bild zeigt die Helper-App, die mehr oder weniger als App Store fungiert:

Bild 3. Haima Helper App

Die Helper App hat alle Fähigkeiten, die von einem App Store erwartet werden – Kategorien, Must-Have Listen, empfohlene Apps usw. Einige der Apps sind dieselben wie im Original-Store (im Bild gekennzeichnet).

Der Helper kann mit einem Unternehmenszertifikat signierte Apps direkt installieren, und er kann auch Apple-Apps aus dem Store installieren. Letzteres bewerkstelligt der Helper, indem er sich mit Haima verbindet und eine Apple-ID „erwirbt“:

Bild 4. Anforderung einer Apple-ID

Nach einem Überprüfungsprozess, der auch die Sicherheitsumgebung einschließt, erhält der Helper eine ID:

Bild 5. Erfolgreicher Erhalt einer Apple-ID

Der Nutzer kennt nicht einmal das Passwort dieses Apple ID-Kontos, doch kann der Helper damit jede iOS-App auf das iPhone des Nutzers installieren. Weitere Details siehe Originalbeitrag.

Dynamisches Signieren von Apps

Wie bereits erwähnt, kann der Helper auch Unternehmenszertifikate nutzen, um Apps auf ein Gerät zu installieren. Apple weiß sehr wohl um den Missbrauch der Zertifikate und widerruft solche Zertifikate immer wieder. Doch Haima ersetzt sie alle paar Tage. Auch nutzt der Helper dynamisches Signieren, um die Sichtbarkeit der Zertifikate zu reduzieren. Bevor die App installiert wird, signiert der Helper sie mit einem neuen (validen) Unternehmenszertifikat, sodass Apple daran gehindert wird, das ursprüngliche Zertifikat zeitgerecht zu widerrufen.

Bild 6. Original und neues Unternehmenszertifikat Mach-O Dateien

Abgreifen der Apple ID des Nutzers

Es gibt noch eine dritte Möglichkeit, Apps zu installieren. Will ein Nutzer nicht die von Haima gelieferte Apple-ID nutzen, so kann er die eigene nehmen, er muss lediglich seine eigene ID und das Kennwort angeben. Doch das ist keine gute Idee, denn der Helper stiehlt diese Informationen.

Standardmäßig werden die Fotos von einem iPhone nicht auf den PC synchronisiert. Doch die Helper App tut dies automatisch. Die App enthält auch bösartigen Code für verschiedene Funktionsaufrufe für den Diebstahl von Informationen.

Fazit

Die Haima Helper App ist ein Schlüsselbestandteil dieses Stores, um ihn für Nutzer einfacher zu gestalten. Doch birgt sie auch ernsthalte Sicherheitsrisiken. Der augenscheinliche Diebstahl der Apple-ID Informationen stellt in sich ein ernstes Risiko dar. Die scheinbare Einbindung von bösartigen Funktionen in den Code ist ebenfalls besorgniserregend. Daher ist es nicht zu empfehlen, Drittanbieter App Stores zu nutzen.

Die folgenden Dateien werden als TSPY_LANDMIN.A erkannt:

SHA1 Hash Dateiname
1fd7073ffd23e6b57be7418be24b78cd3694fe2f IPhoneHelperDll.dll
8d13df388e1dae9d0100967190d4d4b32bd25b8f 00_4.3.7.exe
ec58ec2ecc019d5c927acfa7520550c35d1b480c Haima.exe

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*