Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Fake-Mobilfunkanbieter-Apps: Spyware "Exodus" zielte auch auf iPhone-Nutzer ab

Die als Support-App getarnte Malware missbrauchte Sicherheitsforschern zufolge Apples Enterprise-Zertifikate, um auch Zielpersonen mit iPhone auszuhorchen.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Fake-Mobilfunkanbieter-Apps: Spyware "Exodus" zielte auch auf iPhone-Nutzer ab

(Bild: Shutterstock.com / weedezign)

Lesezeit: 2 Min.
Mac & i
Von
  • Leo Becker

Die angeblich von Strafverfolgungsbehörden eingesetzte Android-Überwachungssoftware "Exodus" wurde offenbar auch auf iOS portiert: Bei der Analyse der Befehlsinfrastruktur der Malware sei man auf Phishing-Seiten gestoßen, über die auch eine iPhone-App zum Download angeboten wurde, wie die Sicherheitsfirma Lookout nun berichtet. Zur Tarnung hätten sich die Apps als Support-Angebote großer Mobilfunkanbieter – aus Italien und Turkmenistan – ausgegeben.

Nutzer seien nach der Installation angewiesen worden, die App installiert zu lassen und möglichst mit einem WLAN verbunden zu bleiben, schreibt Lookout, auf diese Weise sollten offenbar Gerätedaten übertragen werden. Um die Installation auf dem iPhone außerhalb des App Stores zu ermöglichen, habe die Malware auf von Apple ausgegebene Enterprise-Zertifikate gesetzt, heißt es weiter. Nutzer müssen dann nach der Installation erst dem Zertifikat ihr Vertrauen aussprechen, bevor sie die App öffnen können.

Die Fake-Support-App forderte Zugriffsberechtigungen.

(Bild: Screenshot: Lookout/Techcrunch)

Nach einem Hinweis durch die Sicherheitsfirma seien die Zertifikate inzwischen vom dem iPhone-Konzern zurückgezogen worden, das Öffnen der damit signierten Spyware ist somit nicht länger möglich.

Keine Exploits – Nutzereinwilligung erforderlich

Die iPhone-Spyware konnte verschiedene Nutzerdaten abgreifen, darunter Kontakte, Audioaufzeichnungen, Fotos, Videos sowie den Standort. Dies sei über "dokumentierte Schnittstellen" erfolgt und nicht über das Ausnutzen von Schwachstellen, schreiben die Sicherheitsforscher, der Nutzer musste der App dafür also die entsprechenden Berechtigungen erteilen. Zudem sei es möglich gewesen, eine Audioaufnahme aus der Ferne zu starten, so Lookout. Weitere Details wollen die Sicherheitsforscher auf dem kommenden Kaspersky Security Analyst Summit bekanntgeben.

"Exodus" bei Google Play – aber nicht im App Store

Die iOS-Version der Malware habe nur ein Teilmenge der Funktionen der Android-Version geboten, die sich anhand eines Exploits in bestimmten Varianten offenbar Root-Rechte verschaffen konnte. Manche der Fake-Netzbetreiber-Apps seien vorübergehend sogar über den Google Play Store zum Download verfügbar gewesen. Ob die Spyware-Anbieter auch versucht haben, ihre Apps in den App Store zu bringen und an Apples Prüfprozess gescheitert sind oder gleich den Weg über Enterprise-Zertifikate gewählt haben, bleibt unklar.

Enterprise-Zertifikate sind der einzige Weg, um Apps in größerem Stil außerhalb des App Stores auf iOS-Geräte zu bringen. Sie sind eigentlich nur für den internen Gebrauch in Firmen gedacht, aber Apple hat offenbar Probleme, den Zertifkat-Missbrauch in den Griff zu bekommen.

(lbe)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Software für iOS

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten