iOS-Malware KeyRaider entwendet Zugangsdaten von 225.000 Apple-Nutzern

Sicherheitsexperten von Palo Alto Networks haben in Zusammenarbeit mit dem App-Marktplatzbetreiber WeipTech.org eine neue iOS-Malware entdeckt, die für den Diebstahl von bisher 225.000 gültigen Anmeldedaten für Apple-Accounts verantwortlich ist. Ihnen zufolge handelt es sich um den bisher „größten bekanntgewordenen Diebstahl von Apple-Kontendaten durch Malware“. Die KeyRaider genannte Schadsoftware gelangt über Cydia-Repositories auf iOS-Geräte mit Jailbreak. Betroffen sind auch Anwender aus Deutschland, Frankreich und Großbritannien.

Die Forscher von Palo Alto Networks und WeipTech haben gemeinsam 92 Proben der frei zirkulierenden Malware-Familie identifiziert. Sie ist ihnen zufolge in insgesamt 18 Ländern aktiv. Einige Opfer berichteten, dass ihre Apple-Konten eine ungewöhnliche App-Kaufhistorie aufwiesen, andere von verschlüsselten Smartphones, für deren Entschlüsselung sie ein Lösegeld zahlen sollten.

KeyRaider kann auch iPhones verschlüsseln und dann vom Benutzer ein Lösegeld fordern (Bild: Palo Alto Networks).KeyRaider kann auch iPhones verschlüsseln und dann vom Benutzer ein Lösegeld fordern (Bild: Palo Alto Networks).Laut Palo Alto Networks heftet sich die mit der App Utopia verbreitete Malware über MobileSubstrate an Systemprozesse und stiehlt dann Benutzernamen, Passwörter und Geräte-GUIDs von Apple-Konten, indem sie iTunes-Verkehr auf iPhone oder iPad abfängt. KeyRaider hat so auch Zugriff auf Zertifikate sowie private Schlüssel von Apples Push-Benachrichtigungsdiensts, stiehlt und gibt App-Store-Bestellinformationen weiter und deaktiviert lokale sowie ferngesteuerte Entriegelungsfunktionen auf iPhone und iPad.

WeipTech.org kam der Malware auf die Spur, als es von Benutzern gemeldete, verdächtige Tweaks für iOS untersuchten. Dabei fanden sie heraus, dass diese alle auf einem Server gespeichert waren. Ziel der Autoren der KeyRaider-Malware ist es, dass Benutzer von zwei iOS-Jailbreak-Tweaks Anwendungen aus dem offiziellen App Store herunterladen und In-App-Käufe tätigen können, ohne dafür bezahlen zu müssen.

Die beiden Tweaks kapern dazu App-Kauf-Anfragen, laden Daten gestohlener Konten oder Kaufbelege von ihrem Kommandoserver herunter und emulieren dann das iTunes-Protokoll, um sich am Apple-Server anzumelden und mit den gestohlenen Daten dann Apps oder andere von den Nutzern der Tweaks gewünschte Artikel zu kaufen. Die Tweaks sind über 20.000-mal heruntergeladen worden, was darauf hindeutet, dass derzeit auch ungefähr so viele Nutzer die 225.000 gestohlenen Anmeldedaten missbrauchen.

Palo Alto Networks empfiehlt allen Besitzern von iOS-Geräten, keinen Jailbreak durchzuführen. Keines der verfügbaren Cydia-Repositories führe derzeit strenge Sicherheitskontrollen für hochgeladene Apps oder Tweaks durch.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Umfrage

Dürfen Mitarbeiter in Ihrem Unternehmen private Smartphones nutzen?

Ergebnisse anzeigen

Loading ... Loading ...

Neueste Kommentare 

6 Kommentare zu iOS-Malware KeyRaider entwendet Zugangsdaten von 225.000 Apple-Nutzern

Kommentar hinzufügen
  • Am 1. September 2015 um 9:02 von PeerH

    Nun ja – das unscheinbare Wörtchen ‚Jailbreak‘ in der Titelzeile würde >95% der Apple Anwender davon abhalten diesen Artikel zu lesen … so viel vergeudete Zeit.

  • Am 1. September 2015 um 13:39 von Karl

    @PeerH: So ist es. Ein „offizieller“ Marktanteil ist unbekannt, aber es dürften weniger als 1 Prozent sein. Also: irrelevant für „ehrliche Leute“ ;-)

    • Am 1. September 2015 um 17:37 von T800

      1% ist schon sehr niedrig angesetzt.
      Man geht aktuell von 3%-9% aus. Vorrangig auf gebrauchten Geräten.

      • Am 1. September 2015 um 20:47 von @T800

        Irgendeine Quelle? Oder Wissenschaft per Würfel? ;-)

        3-9% wovon – der jailbreaked Geräte? Das wären bei 3-9% von maximal 5% jailbreaked iDevices, d.h. bei aufgerundet 10% höchstens 0,5% der Geräte … das scheint mir eine sehr hohe Zahl zu sein.

        Eine Quelle wäre zur Einschätzung durchaus hilfreich.

  • Am 2. September 2015 um 9:29 von T800

    Wenn du richtig lesen würdest, könntest du sehen, das die Aussage ist, das 3-9% der Geräte gejailbreaked sind.

    Und zwar aller verkauften, wie auch vorher schon erwähnt, vorrangig auf alten/gebrauchten Geräten.

    Du scheinst ja der Meinung zu sein, das nicht mal 0,5% der Geräte nicht mehr mit dem original IOS laufen. Aus eigener Erfahrung (reparierte Iphones) kann ich dir sagen, das zumindest bei unseren Kunden der Anteil bei ca. 4% liegt. Ja, ist nicht repräsentativ.

    Hier noch ein paar Quellen, und ja ich weiss, das es ältere Zahlen sind.

    http://blog.iphone-dev.org/post/16366982367/welcome-new-a5-jailbreakers
    http://bgr.com/2013/02/08/ios-6-1-jailbreak-download-7-million-322420/
    http://www.heise.de/mac-and-i/meldung/evasi0n-Jailbreak-auf-14-Millionen-Geraeten-1816220.html

    • Am 2. September 2015 um 11:51 von PeerH

      Manchmal wäre etwas mehr Text hilfreich – die 1% Aussage war schon recht verwirrend, die 3-9% waren es auch.

      Aber: es gibt für aktuelle iPhones kaum Jailbreakes (außer, man traut sich chinesische JBs einzusetzen), und die werden schnell geschlossen – daher halte ich einen Anteil von 3% für bereits recht hoch – die meisten Anwender wollen nicht jilbreaken, und nur die Besitzer älterer Geräte können jailbreaken.

      Schaut man sich den Anteil von iPhones an, die auf v8.x laufen, wird klar, dass 9% kaum möglich sein kann – das wären dann nahezu alle älteren Geräte.

      Und, sorry, so viele Nerds, die sich das antun, UND die dann nicht auf Android setzen, so viele kann ich mir beim besten Willen nicht vorstellen. ;-)

      Ist eh müßig, weil das alles massiv geschätzte Zahlen sind. Und ändert nichts an der Aussage: wer das macht, sollte sehr genau wissen WAS er macht und hoffen, dass es ihn nicht erwischt. Hinterher jammern hilft ihm dann auch nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *