Praxis: Mac-Malware WireLurker erkennen und beseitigen

Palo Alto Networks: infizierte Software im Maiyadi App Store (Grafik: Palo Alto Networks)

Die von dem amerikanischen Sicherheitsunternehmen Palo Alto Networks entdeckte Malware WireLurker soll unter bestimmten Umständen Macs befallen, die wiederum dazu genutzt werden, um iOS-Geräte zu infizieren. Das soll auch mit nicht-gejailbreakten iPhones möglich sein. Bisher konnten iOS-Schädlinge nur auf entsperrte Geräte gelangen. Palo Alto Networks sieht in diesem Zusammenhang den Beginn einer neuen Ära von iOS-Malware.

WireLurker verfolgt laut Sicherheitsspezialist Jonathan Zdziarski nur ein Ziel: die eindeutige Identifizierung des Nutzers. Da das chinesische Download-Portal „Maiyadi App Store“, über das die Malware verbreitet wird, wegen seines großen Angebots von Raubkopien beliebter Software relativ populär ist, vermutet Zdziarski, dass die Entwickler der Schadsoftware die Identität der Personen erlangen wollen, die nicht lizenzierte Software nutzen. Laut Palo Alto Networks sind 467 verschiedenen OS-X-Programme von der Malware befallenen. Sie wurden angeblich 350.000 mal in den letzten sechs Monaten heruntergeladen.

WireLurker soll sich über insgesamt 467 infizierte Raubkopien populärer Programme über das chinesische Download-Portal Maiyadi App Store verbreitet haben (Screenshot: ZDNet.de).

WireLurker nutzt den Mac, um iOS-Geräte zu infizieren

Sobald der Anwender eines der infizierten Programme installiert, wird ein im Hintergrund laufender Dienst gestartet, der nur darauf wartet, bis der Nutzer ein iOS-Gerät an den Mac anschließt. Zur Kommunikation mit jenem nutzt er die Bibliothek libimobiledevice. Standardmäßig erfasst WireLurker Serien- und Telefonnummer, iTunes-Kontodaten und andere persönliche Daten von dem iOS-Gerät und sendet sie an einen Server. Sofern das iPhone oder iPad gejailbreakt und der Dienst afc2 eingeschaltet ist, wird weiterer Schadcode installiert, der den Verlauf von iMessage, Kontakte aus dem Adressbuch und weitere Daten abgreift und an einen Server sendet. Unklar ist, ob für die eigentliche Installation von WireLurke der Mac-Anwender sein Admin-Passwort eingeben muss, oder ob die Software die kürzlich entdeckte und noch nicht behobene OS-X-Lücke Rootpipe nutzt. Ob für die Installation auf dem Mac zudem in Systemeinstellungen – Sicherheit unter „Apps-Download erlauben von“ die Option „Keine Einschränkung“ gewählt sein muss, ist ebenfalls fraglich. Standardmäßig erlaubt OS X nur Installationen von Software-Paketen, die entweder aus dem App Store oder von einem verifizierten Entwickler stammen. Auf nicht-64-Bit-kompatiblen Macs läuft WireLurker übrigens nicht.

Laut Zdziarski nutzt die Schadsoftware ein gültiges Unternehmenszertifikat für die Installation auf nicht-gejailbreakten iOS-Geräten. Dieses hat Apple angeblich bereits zurückgezogen. Allerdings können die durch WireLurker auf dem Mac gestarteten Systemdienste trotzdem Informationen vom iOS-Gerät abrufen, da die Software hierfür den Mac als „vertrauensvolle Verbindung“ missbraucht. Auf gejailbreakten Geräten ist sowieso kein Zertifikat für die Installation von Software nötig.

WireLurker finden und löschen

WireLurker besteht aus verschiedenen Komponenten, die sich auf unterschiedliche Verzeichnisse verteilen:

Komponenten von WireLurker und deren Verzeichnisse

Komponente Verzeichnis
run.sh /Users/Kontoname/Public
com.apple.machook_damon.plist /Library/LaunchDaemons
com.apple.globalupdate.plist /Library/LaunchDaemons
com.apple.watchproc.plist /Library/LaunchDaemons
com.apple.itunesupdate.plist /Library/LaunchDaemons
com.apple.appstore.plughelper.plist /System/Library/LaunchDaemons
com.apple.MailServiceAgentHelper.plist /System/Library/LaunchDaemons
com.apple.systemkeychain-helper.plist /System/Library/LaunchDaemons
com.apple.periodic-dd-mm-yy.plist /System/Library/LaunchDaemons
globalupdate/usr/local/machook/ /usr/bin
WatchProc /usr/bin
itunesupdate /usr/bin
com.apple.MailServiceAgentHelper /usr/bin
com.apple.appstore.PluginHelper /usr/bin
periodicdate /usr/bin
systemkeychain-helper /usr/bin
stty5.11.pl /usr/bin

Um den Mac von der Schadsoftware zu befreien, reicht das einfache Löschen der WireLurker-Komponenten aus. Diese Arbeit kann man auch von einem von Palo Alto Networks bereitgestellten Python-Skript erledigen lassen. Hierfür gibt man im Terminal folgende Befehle ein:

curl -O https://raw.githubusercontent.com/PaloAltoNetw\
orks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py

Außerdem sollte das mit dem infizierten Mac verbundene iOS-Gerät zurückgesetzt werden.

Apple hat Handlungsbedarf

Für Zdziarski steht fest, dass eine einfache Zertifikat-Sperre das Problem nicht gänzlich löst. Das Zertifikat sei für WireLurker nicht unbedingt nötig und könne außerdem von den Hackern einfach durch ein gültiges ersetzt werden, um schädlichen Code erneut einzufügen. Er rät dem iPhone-Hersteller dringend zu mehr als nur einer Zertifikat-Sperre. Apple müsse zum einen die Anwender besser aufklären und zum anderen die Unternehmenszertifikate, die die meisten Anwender nie benötigen, standardmäßig deaktivieren. Außerdem sollte ein Programm den Anwender um Erlaubnis fragen, wenn es die Verbindung zwischen Mac und iOS-Gerät nutzen möchte, ähnlich der Bestätigung beim Zugriff auf Kontakte und Standortfreigabe. Eine Verschlüsselung der Verbindung zwischen Mac und iPhone verhindert außerdem, dass selbst Programme mit Root-Zugriff, nicht ohne Erlaubnis des Nutzers auf Daten des iOS-Gerätes zugreifen können.

Für ein größeres Problem hält der Sicherheitsspezialist, dass Apple einer App bisher nicht ein bestimmtes Zertifikat zuordnet. Das bedeute, dass ein Hacker die Signatur eines offiziellen aus dem App Store stammenden Programms austauschen und es mit einem eigenen Zertifikat versehen kann. Das müsse der iPhone Hersteller schnellstens ändern, andernfalls drohen durch die von WireLurker aufgezeigte Schwäche in der Sicherheitsarchitektur ernstere Konsequenzen. Während Zdiarski die Schadsoftware selbst als „amateurhaft“ bezeichnet, die relativ leicht entdeckt werden kann, seien Geheimdienste wie NSA und GCHQ oder andere begabte Hacker in der Lage, die Systemschwäche effektiver auszunutzen.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

9 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

10 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago