IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Den ersten iOS-Trojaner, der sich ohne Enterprise-Zertifikat selbst installiert, hat Palo Alto Networks entdeckt und „AceDeciever“ benannt. Die Angreifer nutzen dabei Designfehler in Apples DRM-Schutzmechanismus (Digital Rights Management) FairPlay, um schädliche Apps auf iOS-Geräten zu installieren – unabhängig davon, ob sie jailbroken sind.
Die von AceDeceiver genutzte Technik wird als „FairPlay Man-In-The-Middle“ (MITM) bezeichnet und wird bereits seit 2013 verwendet, um Piraterie-IoS-Apps zu verbreiten. Dies sei aber das erste Mal, dass Palo Alto Networks beobachtet hat, dass die MITM-Technik zur Verbreitung von Malware eingesetzt wird. Für Apple werde es nicht einfach sein, diese Angriffstaktik dauerhaft zu unterbinden.
Verbindung zu einem Drittanbieter App-Store
Drei verschiedene iOS-Apps aus der AceDeceiver-Familie seien zwischen Juli 2015 und Februar 2016 in den offiziellen App-Store hochgeladen worden, und alle gaben vor, Wallpaper-Apps zu sein. Diese Apps haben Apples Code-Review mindestens sieben Mal erfolgreich umgangen mittels eines Verfahrens ähnlich dem von „ZergHelper“, bei dem das Verhalten der App je nach physischer geografischer Region, in der sie ausgeführt wird, angepasst wird. In diesem Fall zeige AceDeceiver nur schädliches Verhalten, wenn sich der Benutzer in China befindet, aber dies wäre für die Angreifer jederzeit einfach zu ändern.
Die bösartigen iOS-Apps stellen eine Verbindung zu einem Drittanbieter-App-Store her, der vom Autor kontrolliert wird und bieten iOS-Apps oder Spiele zum Download an. Benutzer werden dazu gebracht, ihre Apple-IDs und Passwörter für mehr Funktionen einzugeben. Diese Anmeldeinformationen werden verschlüsselt zum C2-Server von AceDeceiver hochgeladen.
Palo Alto Networks identifizierte auch einige frühere Versionen von AceDeceiver vom März 2015, die aber Enterprise-Zertifikate aufwiesen. Die Analyse von AceDeceiver deute darauf hin, dass sich der FairPlay-MITM-Angriff zu einem weiteren beliebten Angriffsvektor für Nicht-jailbroken-iOS-Geräte entwickeln werde. Dies würde eine Bedrohung für Apple-Nutzer weltweit bedeuten.
Palo Alto Networks empfiehlt Benutzern, die Zwei-Faktor-Authentifizierung für ihre Apple-IDs zu aktivieren. Außerdem sollten Unternehmen überprüfen, ob irgendeine iOS-App auf verwalteten Apple-Geräten mittels dieser Kennungen installiert wurde: com.aisi.aisiring, com.aswallpaper.mito und com.i4.picture.
Da sich AceDeceiver auch über Enterprise-Zertifikate verbreite, sollten Unternehmen auch nach unbekannten oder ungewöhnlichen Profilen Ausschau halten. Bis jetzt komme der gesamte schädliche Datenverkehr von oder fließe zu Subdomains unter i4[.]cn. Unternehmen könnten auch auf entsprechenden Netzwerkverkehr achten, um potenzielle Aktivitäten von AceDeceiver zu identifizieren.
