Polizei nimmt mutmaßliche Autoren der Malware WireLurker fest

Die Polizei in China hat drei Verdächtige festgenommen, die die Malware WireLurker programmiert haben sollen. Außerdem schaltete sie den Drittanbieter-App-Store Maiyadi ab, über den die Schadsoftware in Umlauf gebracht wurde. Zur Verhaftung der drei Personen mit den Nachnamen Chen, Lu und Wang führte ein Hinweis des chinesischen Sicherheitsanbieters Qihoo 360 Technology, wie das australische CIO Magazine berichtet.

WireLurker hat möglicherweise die iPhones mehrerer hunderttausend chinesischer Nutzer befallen. Die Malware war Anfang November von Experten der US-Sicherheitsfirma Palo Alto Networks im Feld entdeckt worden. Allerdings wurde sie Kaspersky Labs zufolge schon im Frühjahr kompiliert. Sie befällt mittels eines in OS-X-Apps eingefügten Trojaners zunächst Macs. Dann wartet sie darauf, dass ein iPhone oder iPad per USB mit einem iMac, Mac Mini oder MacBook verbunden wird. Stellt sie das fest, fügt sie zu legitimen iOS-Apps Schadcode hinzu. Das funktionierte im Gegensatz zu den meisten Schadprogrammen für iOS auch bei iPads und iPhones, die nicht per Jailbreak freigeschaltet wurden.

Die Malware erregte daher zu Recht weltweit Aufsehen. Denn, wie Ryan Olson von der Forschungsabteilung von Palo Alto Networks erklärte, ermöglicht die bei WireLurker verwendete Technik für OS X und iOS ähnliche Bedrohungen, wie sie aus dem Zusammenspiel von Windows und Android bekannt sind.

Die tatsächliche Gefahr, die von der Malware ausging, war für Nutzer außerhalb Chinas sehr gering. Die bekannten Varianten wurden von OS X geblockt, die Befehl- und Kontrollserver schnell vom Netz genommen und von Apple das gestohlene Zertifikat, das den Angriff erst ermöglichte, zurückgezogen. Die Installation von Apps auf Geräten ohne Jailbreak, war damit nicht mehr möglich.

Das allerdings hält Trend Micro gar nicht für das eigentliche Ziel der Angreifer. Denn ein Risiko mit tatsächlicher Malware gab es nur für Geräte, bei denen ein Jailbreak vorlag, erklärt das Unternehmen. „Das wahre Problem mit WireLurker besteht weniger in der Bedrohung selbst als vielmehr in Apples Funktionalität des Unternehmens-Provisioning. Gelingt es Apple nicht, diesen Aspekt des Gerätemanagements abzusichern, entsteht dauerhaft ein hohes Bedrohungspotenzial.“ Wirelurker hält Trend Micro aber eher für einen Test für künftige Angriffe als eine echte Attacke.

„Sollte es Cyberkriminellen erneut gelingen, legitime Apple-Zertifikate zu stehlen, können sie wieder den Weg über das Unternehmens-Provisioning wählen. Es scheint den Angreifern bei WireLurker also weit mehr darum gegangen zu sein, auszutesten, wie man über Apple-Geräte in Unternehmensnetze eindringen kann, als Privatanwender zu attackieren“, sagt Trend-Micro-Sprecher Udo Schneider.

Ihm zufolge „sollte Apple deshalb diesen Teil seines Gerätemanagements überarbeiten, um das Bedrohungs- und Angriffsszenario, das WireLurker vor Augen geführt hat, in Zukunft unmöglich zu machen. Dies gilt insbesondere für das Glied in der Angriffskette, an dem der Nutzer beteiligt ist. Denn dieser muss explizit seine Einwilligung zur Installation von Apps geben, die über das Unternehmens-Provisioning bereitgestellt werden. Und es dürfte für den Anwender sehr schwer bis unmöglich sein, zwischen guten und schädlichen Apps zu unterscheiden.“

Das sieht Mirko Brandner, Technical Manager beim Sicherheitsunternehmen Arxan Technologies, ähnlich. Auch er betont, dass durch WireLurker grundsätzliche Schwachstellen in Apples Architektur aufgedeckt wurden. „Ein ungeschützter Binärcode ermöglicht es Hackern, den Code zu rekonstruieren. Alle weiteren Schutzmaßnahmen verlieren dann an Bedeutung, und Angreifer haben ungehinderten Zugang zu allen kritischen Informationen, zu den ‚Kronjuwelen‘ der App.“ Im Falle von WireLurker habe sich die mit einem Trojaner infizierte iOS-App zudem ungehindert via Apples „Enterprise Deployment Model“ verbreiten können.

Um die Risiken solcher Angriffe auf Applikationen künftig zu minimieren, sollten die Apps seiner Ansicht nach bereits während des Entwicklungsprozess gehärtet und mit einem wirksamen Laufzeitschutz ausgestattet werden. Der müsse die Umgebung, auf denen die Apps läuft, genau überprüfen und mögliche Manipulationen erkennen. Brandner: „Das Ziel sollte eine sich selbst verteidigende App sein, die Hackerangriffe und Malware wie WireLurker selbstständig erkennt und abwehrt.“

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.