Ist Wirelurker nur ein Test?

Originalartikel von Spencer Hsieh, Threat Researcher

Der kürzlich entdeckte Schädling Wirelurker, der sowohl OS X- als auch iOS-Geräte betrifft, hat die Medien ausführlich beschäftigt. Mittlerweile gibt es auch Windows-basierte Schadsoftware (TROJ_WIRELURK.A), die ähnliche Angriffe ausführt. Doch zum Teil scheinen die Berichte etwas übertrieben und versetzen Anwender in unnötige Panik.
Wirelurker ist derzeit keine aktive Bedrohung. Die bekannten Varianten sind bereits von OS X geblockt worden und die C&C-Server sind auch vom Netz. Damit aber reduziert sich die Gefahr durch diese Schadsoftware erheblich. Das gestohlene Zertifikat, das den Angriff ermöglichte, hat Apple ebenfalls zurückgenommen und damit den „innovativen“ Teil der Bedrohung zunichte gemacht – nämlich die Möglichkeit, eine App auf ein Gerät ohne Jailbreak zu schieben.

Zudem haben die Angreifer für die Verbreitung von Wirelurker auf den Geräten keine neue Sicherheitslücke genutzt, sondern trojanisierte (gekaperte) Apps. Gekaperte Apps sind seit vielen Jahren ein beliebter Verbreitungsweg für Malware. Trend Micro hat die bösartige App als OSX_WIRELURK.A identifiziert.

Auch sind die Fähigkeiten, die für den Transfer der Schadsoftware auf iOS-Geräte verwendet wurden, Teil von Apples mobiler Plattform. So wird Unternehmens-Provisioning in einer Unternehmensumgebung dazu genutzt, angepasste Apps auf die iOS-Geräte einer Organisation zu installieren. Das Problem hier bestand darin, dass ein Unternehmen (anscheinend ein chinesischer Entwickler mobiler Apps) die Kontrolle über das Signieren der Zertifikate verloren hatte, und somit bösartigen Apps ermöglicht hatte, signiert und damit vertrauenswürdig zu werden.

Wirelurker gelang es, Apps auf Devices ohne Jailbreaking zu installieren. Doch hat Trend Micro keinerlei bösartiges Verhalten bei diesen Apps feststellen können. Die Apps, die einen bösartigen Backdoor enthalten, können lediglich auf Geräten mit Jailbreaking installiert werden. Zusätzlich zeigt iOS ein Pop-up-Fenster, wo der Nutzer seine Einwilligung zur Installation über das Unternehmens-Provisioning geben muss. In Geräten ohne Jailbreak laufen diese Apps in ihrer eigenen Sandbox, sodass sie eine Berechtigung benötigen, um auf Kontakte, Standortinformationen und andere sensible Daten zugreifen zu können.

Es lässt sich nicht ausschließen, dass es sich lediglich um einen Angriffstest über Unternehmens-Provisioning gehandelt hat, und dass der Angreifer künftig bösartigen Code hinzufügen wird. Die auf Geräten mit Jailbreaking installierten bösartigen Apps sind als IOS_WIRELURKER.A identifiziert worden.

Wirelurker schiebt keine Malware auf die intakten Geräte, sondern nur unerwünschte Apps. Es geht also um die Kontrolle über nicht erwünschte Apps, die im Grunde eine Belästigung darstellen, aber kein Risiko. Anders stellt sich die Lage ím Fall von Jailbreaking dar, wo die Geräte tatsächlich mit bösartigen Apps infiziert wurden.

Schließlich ist Unternehmens-Provisioning ein bekannter Angriffsvektor gegen mobile Geräte. Vor einiger Zeit gab es eine Vorführung, wie ein Backdoor auf einem iOS-Gerät mit Hilfe von Unternehmens-Provisioning installiert wurde. Gelingt es Apple nicht, diesen Aspekt des Gerätemanagements richtig abzusichern, so könnte langfristig ein Problem entstehen.

Fazit

Wirelurker führt vor Augen, dass Macs und iOS-Geräte auch Online-Bedrohungen zum Opfer fallen können, genausowie Windows- und Android-Geräte – wenn Nutzer leichtsinniges Verhalten an den Tag legen. Auch können gekaperte Apps, die Nutzer mit Jailbreak-Geräten im Visier haben, zum beliebten Infektionsvektor werden. Das Gleiche gilt auch für iOS: Keine Computing-Plattform ist sicher, wenn der Nutzer sich unsicher verhält.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*