WireLurker zielt auch als Windows-Trojaner auf iOS-Geräte ab

Nebem dem Mac-Trojaner haben Sicherheitsforscher inzwischen auch eine Windows-Ausführung aufgespürt. Sie hat es ebenfalls auf angeschlossene iPhones oder iPads abgesehen und schleust auf diesen Malware ein.

In Pocket speichern vorlesen Druckansicht 56 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Leo Becker

Der Trojaner "WireLurker" hat es nicht nur auf Mac- sondern auch auf Windows-Nutzer abgesehen. Bei weiteren Nachforschungen seien 180 öffentlich Windows-Programme mit der Schadsoftware öffentlich zugänglich bei einem chinesischen Cloud-Dienst identifiziert worden, erklärte die IT-Sicherheitsfirma Palo Alto Networks. Die Schad-Anwendungen für beide Plattformen sind angeblich schon Mitte März in Umlauf gebracht worden.

Die Malware zielt zwar vorrangig auf chinesische Nutzer ab, nach Erkenntnissen des Antiviren-Herstellers Kaspersky gab es allerdings auch in Kanada, Frankreich, Großbritannien, Hong Kong, Taiwan und den USA "minimale Fallzahlen".

Apple blockiert in OS X inzwischen mehrere hundert Programme, die WireLurker mit sich führen. Palo Alto Networks hatte die Schadsoftware bei einem fragwürdigen chinesischen Software-Anbieter ausfindig gemacht – die Mac-Programme seien mehr als 350.000 Mal heruntergeladen worden, die Windows-Versionen in einer anderen chinesischen Plattform rund 60.000 Mal.

WireLurker installiert sich auf angeschlossenen iOS-Geräten

(Bild: Palo Alto Networks)

Nach dem Öffnen der Schad-Software, die sich in populären Spielen und anderer Software verbirgt, wartet WireLurker darauf, dass der Nutzer ein iOS-Gerät mit dem Desktop-PC verbindet. Schließt man das iOS-Gerät an, liest die Malware nach Angabe der Sicherheitsforscher verschiedene Informationen wie Seriennummer, Telefonnummer und iTunes-ID aus uns überträgt diese an einen Server. Zudem versucht WireLurker, Apps auf dem iPhone, iPad oder iPod touch einzuschleusen – dies ist auch auf Geräten ohne Jailbreak über ein Firmen-Zertifikat möglich.

Während WireLurker in seiner derzeitigen Ausführung noch amateurhaft wirke und leicht zu erkennen sei, könnten versierte Angreifer diese Methode für viel gefährlichere Angriffe einsetzen, warnt der Sicherheitsforscher Jonathan Zdziarski. Apple sollte das leichte Installieren von Apps mit Firmen-Zertifikat nur in einem speziellen Enterprise-Modus erlauben, schlägt Zdziarski vor. Das Pairing zwischen Computer und iOS-Gerät müsse zudem besser abgesichert werden, da es dem PC weitreichende Zugriffsmöglichkeiten auf iPhone, iPad und iPod touch einräumt – sobald der Nutzer die Verbindung einmalig als vertrauenswürdig eingestuft hat.

Zdziarski hatte mit einer Veröffentlichung über jahrelang undokumentierte iOS-Systemdienste für Aufsehen gesorgt, die einen weitreichenden Zugriff auf Nutzerdaten ermöglichen. Apple hat diese in iOS 8 schließlich abgeschottet.

Als weiteres Problem erachtet der Sicherheitsforscher, dass die Bundle-ID einer App nicht an das spezifische Zertifikat des Entwicklers geknüpft ist – ein Angreifer könne also die Signatur aus der App löschen, diese manipulieren und anschließend einfach mit einem eigenen Zertifikat wieder signieren. Eine derartige Änderung bleibe vom Nutzer unbemerkt: Die manipulierte App laufe genauso wie die Original-Software. (lbe)