App ZergHelper hat Code-Review von Apples App Store ausgetrickst

CyberkriminalitätSicherheit
App Happy Daily English aka ZergHelper (Screenshot: Palo Alto Networks)

Die Forschungsabteilung von Palo Alto Networks hat in Apples App Store mit der Anwendung ZergHelper ein neues Sicherheitsrisiko entdeckt. Sie konnte offenbar Apples Code-Überprüfung erfolgreich umgehen. Die kriminellen Hintermänner verwenden zudem einige bislang noch beobachtete Techniken.

Palo Alto Networks hat im offiziellen iOS App Store von Apple eine App entdeckt, die auf neuen Wegen Apples ansonsten als streng bekannte Code-Review erfolgreich umgehen konnte. Die von Palo Alto Networks als Riskware eingestufte und ZergHelper genannte Anwendung ist ein komplexer, voll funktionsfähiger Drittanbieter-App-Store-Client für iOS-Nutzer in der Volksrepublik China. Es sind zudem auch von Unternehmen signierte Versionen dieser Anwendung anderswo gefunden worden. Palo Alto Networks hat Apple am 19. Februar auf die riskante App hingewiesen. Sie wurde inzwischen aus dem App Store entfernt.

ZergHelper selbst umfasst keine schädlichen Funktionen, ist aber aus mehreren Gründen für iOS-Nutzer riskant. Erstens bietet sie die Installation modifizierter Versionen von iOS-Apps an, deren Sicherheit nicht gewährleistet ist. Zweitens verwendet sie unberechtigt Unternehmenszertifikate und persönliche Zertifikate, um Anwendungen anzumelden und zu teilen, die gefährlichen Code enthalten können, oder um private APIs zu missbrauchen.

App Happy Daily English aka ZergHelper (Screenshot: Palo Alto Networks)
Der App Happy Daily English ist es gelungen, Apples Sicherheitsüberprüfungen erfolgreich zu umgehen (Screenshot: Palo Alto Networks).

Verdächtig macht ZergHelper sich auch dadurch, dass er Benutzer zur Eingabe einer Apple-ID auffordert und Apple-IDs teilweise weitergibt. ZergHelper nutzt diese Identitäten, um sich an einem Apple-Server anzumelden und im Hintergrund Aktionen auszuführen. Schließlich strebt der Entwickler an, über dynamische Aktualisierung seines Codes die Berechtigungen und Funktionen zu erweitern, womit es ihm dann möglich wäre, weitere Sicherheitseinschränkungen zu umgehen. Die von ZergHelper verwendeten Techniken könnten nach Ansicht von Palo Alto auch von anderer Malware ausgenutzt werden, um Nutzer im iOS-Ökosystem anzugreifen.

Eigentlich ist bereits der Zweck der App ZergHelper verdächtig. Hauptfunktion scheint es zu sein, einen App Store bereitzustellen, der Raubkopien und geknackte iOS-Apps und -Spiele anbietet. Die App wurde von einer Firma in China entwickelt. Deren Hauptprodukt heißt “XY Helper”. ZergHelper kann als die “offizielle” App-Store-Version dieses Produkts betrachtet werden.

Je nach dem Standort, von dem aus zugegriffen wird, präsentiert ZergHelper dem Nutzer unterschiedliche Oberflächen (Screenshot: Palo Alto Networks).
Je nach dem Standort, von dem aus zugegriffen wird, präsentiert ZergHelper dem Nutzer unterschiedliche Oberflächen (Screenshot: Palo Alto Networks).

Sie präsentiert sich je nach Herkunftsort des Nutzers unterschiedlich. Bei Zugriffen außerhalb Chinas erweckt sie den Eindruck, es handle sich um eine App zum Englischlernen. Lediglich wenn aus China zugegriffen wird, werden die weniger seriösen, tatsächlichen Funktionen angezeigt.

Um auch auf Geräte ohne Jailbreak gelangen zu können, ist in ZergHelper eine kleine Version von Apples iTunes-Client für Windows neu implementiert, worüber der Log-in und der Erwerb und Download von Apps abgewickelt wird. Ebenfalls implementiert sind einige Funktionen von Apples Xcode DIE. Damit kann die App automatisch kostenfreie persönliche Entwicklungszertifikate generieren und Apps in iOS-Geräten anmelden. Der Angreifer hat Palo Alto zufolge dafür Apples proprietäre Protokolle intensiv analysiert hat und missbraucht das vor acht Monaten neu eingeführt Entwicklerprogramm.

Ob ZergHelper auch Kontoinformationen stehlen und an den Server der Entwickler zurücksenden würde, ist noch unklar. Wie viele andere Apps sendet auch diese App aktuell tatsächlich einige Geräteinformationen, die für statistische Tracking-Zwecke verwendet werden können, automatisch an einen Server. Allerdings kann ZergHelper kann ohne weitere Überprüfung durch Apple aus der Ferne aktualisiert werden. Zudem wurden bereits rund 50 ZergHelper-Apps identifiziert, die von Unternehmenszertifikaten signiert sind. Diese Anwendungen wurden von den Autoren über unterschiedliche Kanäle verbreitet.

Nutzer, die “Happy Daily English” oder “XY Helper” auf ihren Geräten finden, raten die Sicherheitsexperten diese zu deinstallieren. Sie schlagen außerdem vor, die Profile in iOS-Geräten zu überprüfen (unter Einstellungen > Allgemein > Profile & Gerätemanagement). Wenn dort irgendein Profil von “xyzs.com” erscheine, sollte dies sofort gelöscht werden.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen