Praxis: Mac-Malware WireLurker erkennen und beseitigen

Palo Alto Networks: infizierte Software im Maiyadi App Store (Grafik: Palo Alto Networks)

Die von dem amerikanischen Sicherheitsunternehmen Palo Alto Networks entdeckte Malware WireLurker soll unter bestimmten Umständen Macs befallen, die wiederum dazu genutzt werden, um iOS-Geräte zu infizieren. Das soll auch mit nicht-gejailbreakten iPhones möglich sein. Bisher konnten iOS-Schädlinge nur auf entsperrte Geräte gelangen. Palo Alto Networks sieht in diesem Zusammenhang den Beginn einer neuen Ära von iOS-Malware.

WireLurker verfolgt laut Sicherheitsspezialist Jonathan Zdziarski nur ein Ziel: die eindeutige Identifizierung des Nutzers. Da das chinesische Download-Portal „Maiyadi App Store“, über das die Malware verbreitet wird, wegen seines großen Angebots von Raubkopien beliebter Software relativ populär ist, vermutet Zdziarski, dass die Entwickler der Schadsoftware die Identität der Personen erlangen wollen, die nicht lizenzierte Software nutzen. Laut Palo Alto Networks sind 467 verschiedenen OS-X-Programme von der Malware befallenen. Sie wurden angeblich 350.000 mal in den letzten sechs Monaten heruntergeladen.

WireLurker soll sich über insgesamt 467 infizierte Raubkopien populärer Programme über das chinesische Download-Portal Maiyadi App Store verbreitet haben (Screenshot: ZDNet.de).

WireLurker nutzt den Mac, um iOS-Geräte zu infizieren

Sobald der Anwender eines der infizierten Programme installiert, wird ein im Hintergrund laufender Dienst gestartet, der nur darauf wartet, bis der Nutzer ein iOS-Gerät an den Mac anschließt. Zur Kommunikation mit jenem nutzt er die Bibliothek libimobiledevice. Standardmäßig erfasst WireLurker Serien- und Telefonnummer, iTunes-Kontodaten und andere persönliche Daten von dem iOS-Gerät und sendet sie an einen Server. Sofern das iPhone oder iPad gejailbreakt und der Dienst afc2 eingeschaltet ist, wird weiterer Schadcode installiert, der den Verlauf von iMessage, Kontakte aus dem Adressbuch und weitere Daten abgreift und an einen Server sendet. Unklar ist, ob für die eigentliche Installation von WireLurke der Mac-Anwender sein Admin-Passwort eingeben muss, oder ob die Software die kürzlich entdeckte und noch nicht behobene OS-X-Lücke Rootpipe nutzt. Ob für die Installation auf dem Mac zudem in Systemeinstellungen – Sicherheit unter „Apps-Download erlauben von“ die Option „Keine Einschränkung“ gewählt sein muss, ist ebenfalls fraglich. Standardmäßig erlaubt OS X nur Installationen von Software-Paketen, die entweder aus dem App Store oder von einem verifizierten Entwickler stammen. Auf nicht-64-Bit-kompatiblen Macs läuft WireLurker übrigens nicht.

Laut Zdziarski nutzt die Schadsoftware ein gültiges Unternehmenszertifikat für die Installation auf nicht-gejailbreakten iOS-Geräten. Dieses hat Apple angeblich bereits zurückgezogen. Allerdings können die durch WireLurker auf dem Mac gestarteten Systemdienste trotzdem Informationen vom iOS-Gerät abrufen, da die Software hierfür den Mac als „vertrauensvolle Verbindung“ missbraucht. Auf gejailbreakten Geräten ist sowieso kein Zertifikat für die Installation von Software nötig.

WireLurker finden und löschen

WireLurker besteht aus verschiedenen Komponenten, die sich auf unterschiedliche Verzeichnisse verteilen:

Komponenten von WireLurker und deren Verzeichnisse

Komponente Verzeichnis
run.sh /Users/Kontoname/Public
com.apple.machook_damon.plist /Library/LaunchDaemons
com.apple.globalupdate.plist /Library/LaunchDaemons
com.apple.watchproc.plist /Library/LaunchDaemons
com.apple.itunesupdate.plist /Library/LaunchDaemons
com.apple.appstore.plughelper.plist /System/Library/LaunchDaemons
com.apple.MailServiceAgentHelper.plist /System/Library/LaunchDaemons
com.apple.systemkeychain-helper.plist /System/Library/LaunchDaemons
com.apple.periodic-dd-mm-yy.plist /System/Library/LaunchDaemons
globalupdate/usr/local/machook/ /usr/bin
WatchProc /usr/bin
itunesupdate /usr/bin
com.apple.MailServiceAgentHelper /usr/bin
com.apple.appstore.PluginHelper /usr/bin
periodicdate /usr/bin
systemkeychain-helper /usr/bin
stty5.11.pl /usr/bin

Um den Mac von der Schadsoftware zu befreien, reicht das einfache Löschen der WireLurker-Komponenten aus. Diese Arbeit kann man auch von einem von Palo Alto Networks bereitgestellten Python-Skript erledigen lassen. Hierfür gibt man im Terminal folgende Befehle ein:

curl -O https://raw.githubusercontent.com/PaloAltoNetw\
orks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py

Außerdem sollte das mit dem infizierten Mac verbundene iOS-Gerät zurückgesetzt werden.

Apple hat Handlungsbedarf

Für Zdziarski steht fest, dass eine einfache Zertifikat-Sperre das Problem nicht gänzlich löst. Das Zertifikat sei für WireLurker nicht unbedingt nötig und könne außerdem von den Hackern einfach durch ein gültiges ersetzt werden, um schädlichen Code erneut einzufügen. Er rät dem iPhone-Hersteller dringend zu mehr als nur einer Zertifikat-Sperre. Apple müsse zum einen die Anwender besser aufklären und zum anderen die Unternehmenszertifikate, die die meisten Anwender nie benötigen, standardmäßig deaktivieren. Außerdem sollte ein Programm den Anwender um Erlaubnis fragen, wenn es die Verbindung zwischen Mac und iOS-Gerät nutzen möchte, ähnlich der Bestätigung beim Zugriff auf Kontakte und Standortfreigabe. Eine Verschlüsselung der Verbindung zwischen Mac und iPhone verhindert außerdem, dass selbst Programme mit Root-Zugriff, nicht ohne Erlaubnis des Nutzers auf Daten des iOS-Gerätes zugreifen können.

Für ein größeres Problem hält der Sicherheitsspezialist, dass Apple einer App bisher nicht ein bestimmtes Zertifikat zuordnet. Das bedeute, dass ein Hacker die Signatur eines offiziellen aus dem App Store stammenden Programms austauschen und es mit einem eigenen Zertifikat versehen kann. Das müsse der iPhone Hersteller schnellstens ändern, andernfalls drohen durch die von WireLurker aufgezeigte Schwäche in der Sicherheitsarchitektur ernstere Konsequenzen. Während Zdiarski die Schadsoftware selbst als „amateurhaft“ bezeichnet, die relativ leicht entdeckt werden kann, seien Geheimdienste wie NSA und GCHQ oder andere begabte Hacker in der Lage, die Systemschwäche effektiver auszunutzen.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Chrome 81 unterstützt Web NFC Standard

Der Browser liest und schreibt NFC-Tags. Chrome 81 blockiert zudem das Laden unverschlüsselter Inhalte bei bestehender HTTPS-Verbindung. Außerdem verlängert auch…

12 Stunden ago

Firefox 75: Mozilla überarbeitet Adressleiste und schließt Sicherheitslücken

Die neue Adressleiste vereinfacht die Suche im Internet. Mozilla verbessert außerdem die Kompatibilität zu falsch konfigurierten HTTPS-Servern. Firefox 75 enthält…

12 Stunden ago

IDC empfiehlt für Private und Hybrid Cloud as-a-Service als Betriebs- und Beschaffungsmodell

Die Cloud hat sich durchgesetzt, allerdings nicht als flächendeckende Public Cloud. Vielmehr entstehen vor allem Infrastrukturen mit einem Private-Cloud-Kern und…

14 Stunden ago

Italienischer E-Mail-Provider gehackt – Täter erbeuten Nachrichten und Dateien

Einer No Name genannten Gruppe fallen mehr als 5 TByte Daten in die Hände. Neben Nachrichten und Anhängen sind auch…

16 Stunden ago

Patchday: Google schließt 69 Sicherheitslücken in Android

13 Anfälligkeiten erhalten die höchste Bewertung "kritisch". Betroffen sind alle unterstützten OS-Versionen von Android 8 bis Android 10. Auch LG…

17 Stunden ago

Über 350.000 Exchange-Server anfällig für Angriffe

Obwohl Microsoft bereits im Februar einen Patch für die Lücke CVE-2020-0688 veröffentlicht hatte, sind aktuell noch über 350.000 Exchange-Server anfällig…

1 Tag ago