Chinesische iOS-Malware stiehlt Werbeeinnahmen

Der Malware-Experte Claud Xiao hat eine iOS Malware analysiert, die in China bereits 75.000 Geräte infiziert haben soll. iOS/AdThief nutzt die Cydia-Substrate-Erweiterung, um sich in bestehende App-Prozesse einzuklinken und so die Werbeeinnahmen von Apps umzuleiten. Der Trojaner verbreitet sich wie die meisten anderen Android- und iOS-Trojaner über gefakte und infizierte Apps, in diesem Fall über den Cydia-Store. iOS-Geräte ohne Jailbreak sind daher nicht betroffen.

Einmal installiert, sucht der Schädling in anderen App-Prozessen nach 15 verschiedenen AdKits – den Erweiterungen für Apps, welche es ermöglichen, gezielt Werbung zu schalten und so Einnahmen für den Entwickler zu generieren. Acht der Werbeanbieter sind in China beheimatet, vier in den USA und zwei in Indien. Auch bekannte Werbe-Netzwerke wie Google AdMob oder AdWhirl finden sich in der Liste, erklärt Axelle Apvrille vom Netzwerksicherheitsunternehmen Fortinet (PDF).

Die Werbenetze zahlen den Entwicklern für jeden eingeblendete beziehungsweise angeklickte Anzeige einen kleinen Geldbetrag. Um die Anzeigen und dazugehörigen Auszahlungen bestimmten Entwicklern zuzuordnen werden sogenannte Developer-IDs verwendet. Genau diese ersetzt AdThief mit eigenen IDs und die Autoren des Trojaners bekommen die Einnahmen.

Die Analyse des Schädlings erleichterten Debugging-Informationen, die der Entwickler im Code zurückgelassen hat. Diese enthielten Hinweise auf den mutmaßlichen Entwickler Rover12421 – der behauptet, aber nur einen kleinen Teil des Trojaners geschrieben zu haben. Er habe ihn auch nicht selbst verbreitet und die Einnahmen bekomme er auch nicht, erklärte der chinesische Hacker gegenüber Apvrille.

Zwar hat Malware unter iOS weiterhin Seltenheitswert, 75.000 infizierte Geräte fast ausschließlich in China sind nicht besonders viel, doch geschätzte 22 Millionen gekaperter Werbeanzeigen könnten den Autoren durchaus ein ordentliches Taschengeld eingebracht haben (rei)