Schlagwort-Archive: iOS

Helfer für Haima iOS App Store mit bösartigem Verhalten

Originalbeitrag von Trend Micro

In einem früheren Blogeintrag berichtete Trend Micro bereits über den Haima App Store für iOS. Hier wurden offizielle Apps umgepackt und Werbemodule hinzugefügt, die den Besitzern Geld einbrachten. Ein Grund für die Beliebtheit dieses Stores ist die einfache Handhabung dank des „Haima iOS Helper”. Es handelt sich dabei um eine App, die die Installation von Apps erleichtert und auch die Verwaltung des Nutzergeräts. Die Rolle des Helpers ist der von iTunes ähnlich. Leider bringt die Helper-App ihren Anteil an bösartigem Code (TSPY_LANDMIN.A) mit.

Der Helper wird als Download von der Haima-Website angeboten. Der Nutzer soll hier eine bestimmte Version von iTunes (12.3.2.25) herunterladen. Die Datei ist mit der offiziellen Version von Apple identisch, auch wenn es nicht mehr die neueste ist.

Bild 1. iTunes Download-Aufforderung

Der Helper nutzt iTunes nicht direkt, sondern der Zweck des Programms besteht darin, die iPhone-Treiber zu installieren, die diese Version mitbringt.

Hinzufügen des Patch Package

Danach wird ein Patch Package vom Haima-Server heruntergeladen, das folgende Inhalte hat und nach dem Entpacken in das Haima-Verzeichnis geladen werden:

Bild 2. Inhalt des Patch Package

Die Dateien im Patch kommen tatsächlich von Apple. Haima hatte die iTunes-Protokolle der Version 12.3.2.25 analysiert, sodass der Helper die DLLs aus dieser bestimmten Version nutzt. Auch wenn iTunes später upgegradet wird, so kann es dennoch Apps installieren oder Daten von und zu iOS-Geräten synchronisieren.

Installieren von Apps

Haima bietet zwei Möglichkeiten, um Apps zu installieren. Unter iOS müssen alle Apps, die installiert werden, signiert sein. Deshalb nutzt Haima zwei Methoden: Zum einen verwendet der Store Provisioning-Zertifikate, zum anderen nutzt er Apps, die von Apple über den App Store geliefert werden. Das Bild zeigt die Helper-App, die mehr oder weniger als App Store fungiert:

Bild 3. Haima Helper App

Die Helper App hat alle Fähigkeiten, die von einem App Store erwartet werden – Kategorien, Must-Have Listen, empfohlene Apps usw. Einige der Apps sind dieselben wie im Original-Store (im Bild gekennzeichnet).

Der Helper kann mit einem Unternehmenszertifikat signierte Apps direkt installieren, und er kann auch Apple-Apps aus dem Store installieren. Letzteres bewerkstelligt der Helper, indem er sich mit Haima verbindet und eine Apple-ID „erwirbt“:

Bild 4. Anforderung einer Apple-ID

Nach einem Überprüfungsprozess, der auch die Sicherheitsumgebung einschließt, erhält der Helper eine ID:

Bild 5. Erfolgreicher Erhalt einer Apple-ID

Der Nutzer kennt nicht einmal das Passwort dieses Apple ID-Kontos, doch kann der Helper damit jede iOS-App auf das iPhone des Nutzers installieren. Weitere Details siehe Originalbeitrag.

Dynamisches Signieren von Apps

Wie bereits erwähnt, kann der Helper auch Unternehmenszertifikate nutzen, um Apps auf ein Gerät zu installieren. Apple weiß sehr wohl um den Missbrauch der Zertifikate und widerruft solche Zertifikate immer wieder. Doch Haima ersetzt sie alle paar Tage. Auch nutzt der Helper dynamisches Signieren, um die Sichtbarkeit der Zertifikate zu reduzieren. Bevor die App installiert wird, signiert der Helper sie mit einem neuen (validen) Unternehmenszertifikat, sodass Apple daran gehindert wird, das ursprüngliche Zertifikat zeitgerecht zu widerrufen.

Bild 6. Original und neues Unternehmenszertifikat Mach-O Dateien

Abgreifen der Apple ID des Nutzers

Es gibt noch eine dritte Möglichkeit, Apps zu installieren. Will ein Nutzer nicht die von Haima gelieferte Apple-ID nutzen, so kann er die eigene nehmen, er muss lediglich seine eigene ID und das Kennwort angeben. Doch das ist keine gute Idee, denn der Helper stiehlt diese Informationen.

Standardmäßig werden die Fotos von einem iPhone nicht auf den PC synchronisiert. Doch die Helper App tut dies automatisch. Die App enthält auch bösartigen Code für verschiedene Funktionsaufrufe für den Diebstahl von Informationen.

Fazit

Die Haima Helper App ist ein Schlüsselbestandteil dieses Stores, um ihn für Nutzer einfacher zu gestalten. Doch birgt sie auch ernsthalte Sicherheitsrisiken. Der augenscheinliche Diebstahl der Apple-ID Informationen stellt in sich ein ernstes Risiko dar. Die scheinbare Einbindung von bösartigen Funktionen in den Code ist ebenfalls besorgniserregend. Daher ist es nicht zu empfehlen, Drittanbieter App Stores zu nutzen.

Die folgenden Dateien werden als TSPY_LANDMIN.A erkannt:

SHA1 Hash Dateiname
1fd7073ffd23e6b57be7418be24b78cd3694fe2f IPhoneHelperDll.dll
8d13df388e1dae9d0100967190d4d4b32bd25b8f 00_4.3.7.exe
ec58ec2ecc019d5c927acfa7520550c35d1b480c Haima.exe

 

Das Elend mit XcodeGhost – wie konnte es passieren?

Originalbeitrag von Trend Micro

Traditionell wird der iOS-Appstore als eine sichere App-Quelle angesehen, dank der Apple-Politik, den eigenen Garten einzuzäunen. Allerdings ist dieser Ruf nicht mehr vollständig gerechtfertigt, seit mehrere legitime Apps im iOS-Appstore gefunden wurden, die bösartigen Code enthielten. Dieser wird als XcodeGhost bezeichnet.

Weiterlesen

Masque Attacks: iOS-Apps nutzen keine Verschlüsselung

Originalartikel von Brooks Hong, Mobile Threat Response Engineer

Die Bedrohungsforscher von Trend Micro haben herausgefunden, dass die bösartigen Apps, die über die iOS-Bedrohung Masque Attacks installiert werden, ein weiteres Risiko für iOS-Geräte darstellen – sie greifen auf nicht verschlüsselte Daten zu, die von legitimen Apps genutzt werden.
Weiterlesen

Schutz gegen Wirelurker auf iOS- und OS X-Geräten

Originalartikel von Trend Micro

Die Schadsoftware Wirelurker und ihre Auswirkungen auf die Sicherheit für iOS-, OS X- und auch Windows-Geräte hat viel Wirbel verursacht. Anwender und Unternehmen können den folgenden Empfehlungen und Practices folgen, um ihre Geräte gegen diese Bedrohung zu sichern.
Weiterlesen

Ist Wirelurker nur ein Test?

Originalartikel von Spencer Hsieh, Threat Researcher

Der kürzlich entdeckte Schädling Wirelurker, der sowohl OS X- als auch iOS-Geräte betrifft, hat die Medien ausführlich beschäftigt. Mittlerweile gibt es auch Windows-basierte Schadsoftware (TROJ_WIRELURK.A), die ähnliche Angriffe ausführt. Doch zum Teil scheinen die Berichte etwas übertrieben und versetzen Anwender in unnötige Panik.
Weiterlesen