Mutmaßliche Autoren der Malware Wirelurker verhaftet

SicherheitVirus
Hacker festgenommen (Bild: Shutterstock/Ilya Andriyanov)

Die chinesische Polizei hat nach einem Hinweis des chinesischen Sicherheitsunternehmens Qihoo 360 Technology drei Verdächtige festgenommen. Ihnen wirft sie vor, die Malware Wirelurker entwickelt und über den alternativen App Store Maiyadi verbreitet zu haben. Wirelurker hat vor allem deshalb Aufsehen erregt, weil damit neue Angriffsmöglichkeiten auf Firmen erprobt wurden.

Die chinesische Polizei hat drei Personen verhaftet, denen sie vorwirft, die Malware Wirelurker erstellt und über den Drittanbieter-App-Store Maiyadi verbreitet zu haben. Das hat das CIO-Magazine Australien berichtet. Den Tipp, der zur Festnahme der drei Personen mit den Nachnamen Chen, Li und Wang geführt hat, haben die Behörden dem Blatt zufolge vom chinesischen Sicherheitsanbieter Qihoo 360 Technology bekommen. Im Zuge ihres Vorgehens haben die Behörden auch den Maiyadi-App-Store vom Netz genommen.

Mutmaßliche Autoren der Malware Wirelurker verhaftet (Bild: Shutterstock/Ilya Andriyanov)

Wirelurker hat möglicherweise die iPhones mehrerer hunderttausend chinesischer Nutzer befallen. Die Malware war Anfang November von Experten der US-Sicherheitsfirma Palo Alto Networks im Feld entdeckt worden. Allerdings wurde sie Experten von Kaspersky Labs zufolge schon im Frühjahr kompiliert. Sie befällt mittels eines in OS-X-Apps eingefügten Trojaners zunächst Macs. Dann wartet sie darauf, dass ein iPhone oder iPad per USB mit einem iMac, Mac Mini oder MacBook verbunden wird. Stellt sei das fest, fügt sie zu legitimen iOS-Apps Schadcode hinzu. Das funktionierte im Gegensatz zu den meisten Schadprogrammen für iOS auch bei iPads und iPhones, die nicht per Jailbreak freigeschaltet wurden.

Der Vorfall erregte daher zu Recht weltweit Aufsehen. Denn, wie Ryan Olson von der Forschungsabteilung von Palo Alto Networks erklärte, ermöglicht die bei Wirelurker verwendete Technik für OS X und iOS ähnliche Bedrohungen, wie sie aus dem Zusammenspiel von Windows und Android bekannt sind.

Die tatsächliche Gefahr, die von der Malware ausging, war für Nutzer außerhalb Chinas sehr gering. Außerdem wurden die bekannten Varianten von OS X geblockt, die Befehls- und Kontrollserver schnell vom Netz genommen und von Apple das gestohlene Zertifikat, das den Angriff erst ermöglichte, zurückgezogen. Das wirklich Neue an der Malware, nämlich die Installation von Apps auf Geräten ohne Jailbreak, war damit nicht mehr möglich.

Das allerdings hält Trend Micro gar nicht für das eigentliche Ziel der Angreifer. Denn ein Risiko mit tatsächlicher Malware gab es nur für Geräte, bei denen ein Jailbreak vorlag, erklärt das Unternehmen. “Das wahre Problem mit Wirelurker besteht weniger in der Bedrohung selbst als vielmehr in Apples Funktionalität des Unternehmens-Provisioning. Gelingt es Apple nicht, diesen Aspekt des Gerätemanagements abzusichern, entsteht dauerhaft ein hohes Bedrohungspotenzial.” Wirelurker hält Trend Micro aber eher für einen Test für künftige Angriffe als eine echte Attacke.

“Sollte es Cyberkriminellen erneut gelingen, legitime Apple-Zertifikate zu stehlen, können sie wieder den Weg über das Unternehmens-Provisioning wählen. Es scheint den Angreifern bei Wirelurker also weit mehr darum gegangen zu sein auszutesten, wie man über Apple-Geräte in Unternehmensnetze eindringen kann, als Privatanwender zu attackieren”, erklärte Firmensprecher Udo Schneider.

Ihm zufolge “sollte Apple deshalb diesen Teil seines Gerätemanagements überarbeiten, um das Bedrohungs- und Angriffsszenario, das Wirelurker vor Augen geführt hat, in Zukunft unmöglich zu machen. Dies gilt insbesondere für das Glied in der Angriffskette, an dem der Nutzer beteiligt ist. Denn dieser muss explizit seine Einwilligung zur Installation von Apps geben, die über das Unternehmens-Provisioning bereitgestellt werden. Und es dürfte für den Anwender sehr schwer bis unmöglich sein, zwischen guten und schädlichen Apps zu unterscheiden.

Das sieht Mirko Brandner, Technical Manager beim Sicherheitsunternehmen Arxan Technologies,ähnlich. Auch er betonte, dass durch Wirelurker grundsätzliche Schwachstellen in Apples Architektur aufgedeckt wurden. Ihm zufolge wird durch Wirelurker die iOS-App “umverpackt” und mit einem Schadcode versehen, der schädliche Aktivitäten ausführen kann. “Ein ungeschützter Binärcode ermöglicht es Hackern, den Code zu rekonstruieren. Alle weiteren Schutzmaßnahmen verlieren dann an Bedeutung, und Angreifer haben ungehinderten Zugang zu allen kritischen Informationen, zu den ‘Kronjuwelen’ der App”, so Brandner. Im Falle von Wirelurker habe sich die mit einem Trojaner infizierte iOS-App zudem ungehindert via Apples “Enterprise Deployment Modell” verbreiten können.

Um die Risiken solcher Angriffe auf Applikationen künftig zu minimieren, sollten die Apps seiner Ansicht nach bereits während des Entwicklungsprozess gehärtet und mit einem wirksamen Laufzeitschutz ausgestattet werden. Der müsse die Umgebung, auf denen die Apps läuft, genau überprüfen und mögliche Manipulationen erkennen. Brander: “Das Ziel sollte eine sich selbst verteidigende App sein, die Hackerangriffe und Malware wie zum Beispiel WireLurker selbstständig erkennt und abwehrt.”

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen