Hintergründe zur iOS-Malware ‚WireLurker‘

Die Meldungen über die neu entdeckte Malware ‚WireLurker“ sind im Moment in den Medien und sozialen Netzwerken auf heavy rotation, wobei zum Teil auch unzutreffende Aussagen getätigt werden.

Es handelt sich hier um einen hochentwickelten Trojaner, der sich über mutmassliche Raubkopien chinesischen Ursprungs verbreitet. Er existiert im Moment nur in einer 64-Bit Variante und wird mit Installation der raubkopierten Software auf das System übertragen und dort als System-Prozess ausgeführt. Der Prozess bedient sich der Bibliothek libimobdevice und wartet, bis ein iOS-Gerät per USB an den Mac angeschlossen wird. Durch die Vertrauensstellung zwischen dem Mac und dem iOS-System kann der Trojaner dann die Seriennummer, Telefonnummer, den iTunes store identifier und andere Informationen auslesen und an einen entfernten Server übertragen.

Sofern das iOS-Gerät einem sog. jailbreak unterzogen und afc2 installiert wurde, gelangt weiterer bösartiger Code auf das Gerät, das auf das Dateisystem zugreifen und Informationen aus einer Vielzahl von Anwendungen (darunter Nachrichten, Kontakte, etc.) auslesen kann.

WireLurker bedient sich der sog. „Enterprise Provisionierung“ (einer Schnittstelle für Unternehmen zur Verwaltung einer größeren Anzahl von Geräten), daher reicht auch die aktuelle Maßnahme Apples, Zertifikate zu widerrufen, nicht aus – prinzipiell kann WireLurker selbst solche Zertifikate auf dem Gerät installieren bzw. ungültige durch neue ersetzen.

Da sich WireLurker offenbar gezielt um Informationen zur Identität des Gerätes bzw. des Inhabers bemüht, kommt als Zielgruppe des Trojaners die Identifikation chinesischer Softwarepiraten in Frage. Aufgrund der Bauweise muss die Malware als eine Art Basisprodukt, dessen Entwicklung noch nicht abgeschlossen ist, betrachtet und aufmerksam beobachtet werden. Durch intelligente Kombination von verschiedenen Techniken kann es die bestehenden Sicherheitsmechanismen erfolgreich umgehen, das macht es zu einer realen Bedrohung für iOS-Geräte.

Auf GitHub findet sich ein Tool zum Aufspüren von WireLurker:

https://github.com/PaloAltoNetworks-BD/WireLurkerDetector

Von dort muss aber nichts heruntergeladen oder installiert werden, es wird vielmehr ein Python-Kommandozeilenbefehl beschrieben, dass ein entsprechendes Script herunterlädt:

curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py

 

Danach wird das Script durch einen weiteren Befehl ausgeführt:

python WireLurkerDetectorOSX.py

 

Wer ganz sicher gehen möchte, kann die Vertrauensstellug seines iOS-Gerätes mit Mac OS X Computern zurücksetzen (–> Einstellungen –> Allgemein –> Zurücksetzen –> Standort und Datenschutz (alternativ: Netzwerkeinstellungen).

Weiterführende Links:

http://researchcenter.paloaltonetworks.com/2014/11/wirelurker-new-era-os-x-ios-malware/
http://www.libimobiledevice.org
http://www.zdziarski.com/blog/?p=2589