[Update 07.11.2014: Wie Palo Alto Networks berichtet, hat ein Mitarbeiter von AlienVault Labs eine ausführbare Windows-Datei gefunden, die die Adresse von WireLurkers C&C-Server beinhält. Eine Analyse des Samples hat ergeben, dass es sich hierbei um eine ältere Version von WireLurker handelt. ESET erkennt die Malware als Win32/WireLurker.A.]
iPhone- und iPad-Nutzer mussten sich bislang keine allzu großen Gedanken über Schadsoftware machen. Solange die Nutzungsbeschränkungen ihres Geräts nicht durch Jailbreaking deaktiviert wurden, konnten sie sich in Sicherheit wähnen. Laut einem Bericht der amerikanischen Netzwerk-Sicherheitsfirma Palo Alto Networks könnte sich das allerdings bald ändern.
Die Sicherheitsforscher haben nämlich eine neue Malware namens WireLurker gefunden, deren Ziel iOS-Geräte sind. Dieser Schädling treibt offensichtlich schon seit sechs Monaten sein Unwesen. Das Verheerende an ihm ist, dass er Geräte unabhängig davon infiziert, ob die Nutzungsbeschränkungen deaktiviert wurden oder nicht. Dafür nutzt die Software eine Schnittstelle, mit der Entwickler eigene Apps direkt auf Smartphones von Mitarbeitern installieren können – ohne den sonst üblichen Umweg über den App Store.
WireLurker hat es auf iOS-Geräte abgesehen
Verbreitet wird die Malware über den Maiyadi App Store, einem chinesischen Drittanbieter für OS-X-Software. Laut dem Bericht von Palo Alto Networks sind 467 der hier angebotenen Apps mit dem Schadcode infiziert und schon über 356.104 Mal heruntergeladen worden. Potenziell gibt es also bereits mehrere Hunderttausend Betroffene – vorwiegend vermutlich chinesische Nutzer.
Lädt ein Nutzer über den Store eine infizierte App auf seinen Desktop-Rechner herunter, überwacht die Malware die USB-Verbindung des Computers. Sobald der Nutzer dann sein iOS-Gerät anschließt, werden Apps von Drittanbietern oder automatisch generierte Anwendungen auf dem iPhone bzw. iPad installiert, die ebenfalls den schädlichen Code enthalten.
Einmal auf dem iOS-Gerät eingenistet, richtet WireLurker bislang keinen großen Schaden an – sofern das Gerät nicht mit einem Jailbreak freigeschaltet wurde. Offensichtlich werden lediglich harmlose Anwendungen heruntergeladen. Auf Geräten mit Jailbreak klinkt sich die schädliche Software allerdings in Apps von chinesischen Auktionsplattformen ein, um Zahlungsinformationen abzugreifen.
Ein Blick in die Zukunft?
Aufgrund der limitierten Funktionen der Malware gehen die Sicherheitsforscher davon aus, dass es sich um eine Test-Phase der Entwicklung handelt. Dennoch sollte man die Gefahr nicht unterschätzen. Denn zum einen ist es durchaus möglich, dass die Verantwortlichen nach diesem Test dazu übergehen, wirklich schädliche Funktionen zu integrieren. Zum anderen handelt es sich um eine neue Art des Angriffs, die zeigt, dass sich auch iOS-Nutzer zukünftig eingehender mit der Sicherheit ihrer Geräte auseinandersetzen müssen.
Allerdings besteht kein Grund zur Panik. Laut BBC-Online hat Apple eine Stellungnahme veröffentlicht: „Wir wissen von einer schädlichen Software, die auf einer Downloadseite verfügbar ist, die sich an Nutzer in China richtet und haben die identifizierten Apps blockiert, um eine Verbreitung zu verhindern.“
Zudem hat wie immer jeder Nutzer selbst Einfluss darauf, wie groß das individuelle Risiko tatsächlich ist. In Bezug auf WireLurker kannst du dich schützen, indem du inoffizielle Anbieter meidest und zum Herunterladen von Anwendungen ausschließlich den offiziellen Apple Store nutzt. Außerdem solltest du dein iPhone oder iPad niemals an einen fremden Rechner anschließen. Denn hier kannst du nie sicher wissen, ob er infiziert ist oder nicht. Bei deinem heimischen Rechner solltest du eine Sicherheitssoftware einsetzen. ESET erkennt die Malware als OSX/WireLurker.A und schützt deinen Desktop-Computer vor einer Infizierung und damit auch dein iPhone oder iPad vor einer Übertragung.