Trend Micro warnt vor Spionage-Apps für iOS-Geräte ohne Jailbreak
Trend Micro hat bei eingehenderer Untersuchung der im Herbst 2014 erstmals aufgedeckten Malware-Kampagne Operation Pawn Storm zwei für iOS entwickelte Spionage-Apps identifiziert. Sie werden nach Angaben des Unternehmens bereits für zielgerichtete Angriffe verwendet. Mindestens eine der beiden Apps kann auch Geräte ausforschen, die nicht per Jailbreak freigeschaltet wurden.
Operation Pawn Storm dient wirtschaftlichen und politischen Zwecken. Sie richtet sich gegen Mitarbeiter von Regierungen, Medien, die Rüstungsindustrie und das Militär. Die beiden jetzt entdeckten Schadprogramme für iOS ähneln laut Trend Micro der für die Kampagne verwendeten fortschrittlichen Windows-Malware SEDNIT.
Die beiden Spionageprogramme nennt Trend Micro XAgent und MadCap. Beide stehen aktiv in Kontakt mit einem Befehlsserver. Während sich XAgent auf beliebigen iOS-Geräten installieren lässt, kann MadCap nur iPhones und iPads befallen, wenn das Opfer zuvor einen Jailbreak angewendet hat.
XAgent wiederum funktioniert nur unter iOS 7 vollständig. Trend Micro vermutet daher, dass die Schadsoftware bereits vor September 2014 entwickelt wurde. Unter iOS 8 ist sie nicht in der Lage, ihr Programmsymbol zu verbergen. Zudem kann sie nur unter iOS 7 automatisch neu starten, falls ihr Prozess beendet wurde.
Entwickelt wurde XAgent, um Textnachrichten, Standortdaten, Bilder und Adressen zu sammeln. Die Malware kann aber auch Gespräche aufzeichnen, eine Liste aller installierten Apps erstellen, die laufenden Prozesse und auch den WLAN-Status ermitteln. Alle Informationen sendet XAgent per HTTP an einen Server im Internet. Die im HTML-Format erstellten Log-Dateien sind teilweise farblich markiert, um eine Auswertung zu erleichtern. Die Analyse des Codes zeigt laut Trend Micro zudem, dass die Schadsoftware “sorgfältig gepflegt und immer wieder aktualisiert” wird.
MadCap ähnelt in vielen Bereichen XAgent, ist jedoch auf die Aufzeichnung von Audio spezialisiert. Wie beide Schadprogramme auf iOS-Geräte kommen, hat Trend Micro noch nicht ermittelt. “Wir wissen allerdings dass die iOS-Geräte nicht per se freigeschaltet sein müssen. Wir haben einen Fall gesehen, in dem der Köder lediglich ‘Tippen Sie hier, um die Anwendung zu installieren’ lautet”, heißt es im Trend-Micro-Blog.
Die App benutze das für Entwickler gedachte Ad Hoc Provisioning, bei dem eine App nur durch das Klicken auf einen Link installiert wird. Trend Micro hält es aber auch für wahrscheinlich, dass sich die beiden Schadprogramme per USB über einen zuvor kompromittierten Windows-PC verbreiten.
[mit Material von ZDNet.de]