Palo Alto Networks hat Details zu der letzte Woche entdeckten Hintertür in mehreren in China verteilten Jailbreak-Apps und Tweaks genannt. Demnach arbeitet die Malware äußerst trickreich. Gestohlen wurden 225.000 iCloud-Accounts.
Eine Malware, die in diversen in China verteilten Jailbreak-Tweaks für iOS steckte, diente bis zu 20.000 Nutzern zum "kostenlosen" App-Shopping in Apples Online-Laden. Wie in der vergangenen Woche bekannt wurde, kompromittierte die Backdoor Konten von bis zu 225.000 iCloud-Nutzern. Das Sicherheitsunternehmen Palo Alto Networks nannte nun nähere Details zur Funktionsweise des Angriffs, den die Firma "KeyRaider" getauft hat.
Demnach steckte die Hintertür in bis zu 77 verschiedenen Jailbreak-Tweaks sowie in Raubkopien von Apps, die über mehrere beim chinesischen Apple-Bastlerforum WeiPhone gelistete Repositories vertrieben wurden. Palo Alto Networks identifizierte mehrere damit in Verbindung stehende Nutzerkonten. Einmal installiert, übertrug die Malware die iCloud-Zugangsdaten der Nutzer im Hintergrund. Zudem sollen auch für Apples Push-Dienst genutzte private Krypto-Schlüssel und Zertifikate gestohlen worden sein, wie Ryan Olson, Sicherheitsforscher von Palo Alto Networks, gegenüber Mac & i sagte. Komplexe Malware mit mehreren Stufen
Die Daten wurden wiederum dafür verwendet, weitere Jailbreak-Tweaks zu speisen. Die Werkzeuge namens "iappstore" und "iappinbuy" dienten laut Beschreibung dazu, beliebige kostenpflichtige Anwendungen in Apples App Store gratis herunterzuladen beziehungsweise In-App-Einkäufe zu tätigen. Dazu benutzten die Anwendungen wiederum die zuvor gestohlenen iCloud-Zugangsdaten. Laut Olson gingen die Entwickler sehr geschickt vor: Mittels Man-in-the-middle-Verfahren wurden der offiziellen App-Store-Anwendung jeweils passende Nutzerdaten vorgelegt. War einer der Accounts gesperrt, wurde der nächste verwendet. "Sie sind sehr intelligent vorgegangen", meinte Olson. Mindestens 20.000 Downloads sollen "iappstore" und "iappinbuy" verzeichnet haben.
Aufgefallen ist der Account-Missbrauch, da einer der Command & Control-Server, den die Angreifer nutzten, eine Lücke aufwies. So war es möglich, Zugriff auf eine Datenbank mit den geklauten iCloud-Konten zu erhalten. Laut Palo Alto Networks, das mit dem Sicherheitsforscher Claud Xiao und der chinesischen Nutzergruppe WeipTech zusammenarbeitetet, waren von dem Angriff vor allem chinesische Nutzer betroffen. Die Datenbank verzeichnet aber auch E-Mail-Adressen aus Frankreich, Deutschland, Russland, Japan, Großbritannien, Italien, Spanien, Australien, Israel, Singapur, Südkorea sowie aus den USA. KeyRaider kann auch Nutzer erpressen
Entdeckt wurde auch noch eine zweite Eigenschaft von KeyRaider. So sollen die Malware-Macher auch die Möglichkeit integriert haben, iOS-Geräte zu sperren, indem sie PIN-Code oder Gerätepasswort austauschten. Anschließend erschien auf betroffener Hardware ein Hinweis, dass das Gerät "gekidnappt" sei. Offenbar sollten damit Nutzer zu Geldzahlungen bewogen werden. Wie häufig dies tatsächlich passierte, ist aber unklar.
Apple wurde von Palo Alto Networks über KeyRaider informiert, die betroffenen iCloud-Accounts dürften mittlerweile gesperrt sein. Sicherheitslücken in iOS nutzten die Angreifer offenbar nicht aus. Sie verwendeten allein die Möglichkeiten, die ein Jailbreak bietet – in Verbindung mit Nutzern, die solche Tools, die mit allen Systemrechten laufen, freiwillig installieren.