Trend Micro hat bei weiteren Untersuchungen zu der erstmals im Herbst 2014 enthüllten Malware-Kampagne Operation Pawn Storm zwei speziell für iOS entwickelte Spionage-Apps entdeckt. Sie werden nach Angaben des Unternehmens aktiv für zielgerichtete Angriffe verwendet. Mindestens eine der beiden Apps kann auch Geräte infizieren, die nicht per Jailbreak freigeschaltet wurden.
Operation Pawn Storm ist eine laufende Kampagne, die wirtschaftlichen und auch politischen Zwecken dient. Sie richtet sich gegen Regierungen, Medien, die Rüstungsindustrie und das Militär. Die beiden jetzt entdeckten Schadprogramme für iOS ähneln laut Trend Micro der für die Kampagne verwendeten fortschrittlichen Windows-Malware SEDNIT.
Die beiden Spionageprogramme nennt Trend Micro XAgent und MadCap. Beide stehen weiterhin aktiv in Kontakt mit einem entfernten Befehlsserver. Während XAgent auf beliebigen iOS-Geräten installiert werden kann, kann MadCap nur iPhones und iPads befallen, wenn das Opfer zuvor einen Jailbreak angewendet hat.
XAgent wiederum funktioniert nur unter iOS 7 vollständig, weswegen Trend Micro vermutet, dass die Schadsoftware vor September 2014 entwickelt wurde. Unter iOS 8 ist sie nicht in der Lage, ihr Programmsymbol zu verbergen. Zudem kann sie sich nur unter iOS 7 automatisch neu starten, falls ihr Prozess beendet wurde.
Entwickelt wurde XAgent, um Textnachrichten, Standortdaten, Bilder und Adressen zu sammeln. Die Malware kann aber auch Gespräche aufzeichnen, eine Liste aller installierten Apps erstellen, die laufenden Prozesse und auch den WLAN-Status ermitteln. Alle Informationen sendet XAgent per HTTP an einen Server im Internet. Die im HTML-Format erstellten Log-Dateien sind teilweise farblich markiert, um eine Auswertung zu erleichtern. Die Analyse des Codes zeigt laut Trend Micro zudem, dass die Schadsoftware „sorgfältig gepflegt und immer wieder aktualisiert“ wird.
MadCap ähnelt in vielen Bereichen XAgent, ist jedoch auf die Aufzeichnung von Audio spezialisiert. Wie beide Schadprogramme auf iOS-Geräte kommen, hat Trend Micro noch nicht ermittelt. „Wir wissen allerdings dass die iOS-Geräte nicht per se freigeschaltet sein müssen. Wir haben einen Fall gesehen, in dem der Köder lediglich ‚Tippen Sie hier, um die Anwendung zu installieren‘ lautet“, heißt es im Trend-Micro-Blog. Die App benutze das für Entwickler gedachte Ad Hoc Provisioning, bei dem eine App nur durch das Klicken auf einen Link installiert wird. Trend Micro hält es aber auch für wahrscheinlich, dass sich die beiden Schadprogramme per USB über einen zuvor kompromittierten Windows-PC verbreiten.
Neueste Kommentare
4 Kommentare zu Operation Pawn Storm: Trend Micro entdeckt Spionage-Apps für iOS
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Mit anderen Worten: Don’t worry für wachsame und auf aktuellem Release-Stand befindliche iOS-Nutzer.
Ja, beim lesen des Artikels wurde mir Angst und Bange: was so alles möglich ist? ;-)
Na, dann fiel mir auf, dass all diese Gunktionen bei Android per se bereits von Haus aus installiert sind – als Google Apps.
Sammeln von Text, Bilder, Gespräche, Übersicht Apps … alles möglich, und alles wird ganz offen abgesaugt unter dem Deckmsntel ‚Werbung‘.
Die NSA muss nur Google fragen, und hat alles vom Android Gerät – und via Browser und Desktop sogar noch viel mehr. ;-)
Man muss mal abwarten, was Sicherheitsexperten jenseits von TrendMicro dazu meinen – so ist das erst mal nur ein ernstzunehmender Verdacht.
@Redaktion – fairerweise sollte erwähnt werden, dass Trendmicro bewusst unterschlägt, dass vor der ‚einfachen Installation per Link‘ noch zwei (!) Info Einblendungen angezeigt werden, und dass die zweite auf eine „untrusted“ Developer App verweist.
Wer nach diesen Hinweisen auf Install klickt, nun ja. Und das ist m.E. nicht wirklich neu.
http://support.apple.com/en-us/HT6584
Gefährlich ist der Verbreitungsweg dennoch – man sollte auch bei iOS aufpassen, worauf man klickt.
Wer jailbreaked, ist selber schuld. Viel Macht bedeutet viel Verantwortung.
Siehe Kommentar auf der Blog Seite:
„Avatar
RosynaKeller
14 hours ago
I’m surprised you didn’t mention the two dialogs shown when you click that link to install the app under „Possible Infection Methods“ as mentioned in http://support.apple.com/en-us…
Namely, that iOS explicitly states you are about to install an app from an untrusted developer.“
Das wird immer von Sicherheitsexperten unterschlagen, nicht nur bei Apple.