PresseBox
Pressemitteilung BoxID: 786249 (Palo Alto Networks GmbH)
  • Palo Alto Networks GmbH
  • Mies-van-der-Rohe-Straße 8
  • 80807 München
  • http://www.paloaltonetworks.com
  • Ansprechpartner
  • Philipp Haberland
  • +49 (163) 2722363

Palo Alto Networks entdeckt neuen iOS-Trojaner - AceDeceiver nutzt erstmals Designfehler in Apples DRM-Mechanismus und infiziert iOS-Geräte

Neue Familie von iOS-Malware infiziert erfolgreich sogar Nicht-jailbroken-Geräte von Apple

(PresseBox) (München, ) Palo Alto Networks, hat den ersten iOS-Trojaner entdeckt, der sich ohne Enterprise-Zertifikat selbst installiert – und ihn AceDeciever benannt. Dies belegt erneut, dass sich die Malware-Entwickler verstärkt iOS bzw. Apple-Geräten zuwenden, nachdem sie sich bislang auf Android konzentrierten. Im Gegensatz zu früherer iOS-Malware, die Enterprise-Zertifikate missbrauchte, kann sich AceDeceiver ganz ohne Enterprise-Zertifikat installieren. Die Angreifer nutzen dabei Designfehler in Apples DRM-Schutzmechanismus (Digital Rights Management)  FairPlay, um schädliche Apps auf iOS-Geräten zu installieren, unabhängig davon, ob sie jailbroken sind.

Die von AceDeceiver genutzte Technik wird als „FairPlay Man-In-The-Middle“ (MITM) bezeichnet und wird bereits seit 2013 verwendet, um Piraterie-IoS-Apps zu verbreiten. Dies ist aber das erste Mal, dass Palo Alto Networks beobachtet hat, dass die MITM-Technik zur Verbreitung von Malware eingesetzt wird. Für Apple wird es nicht einfach sein, diese Angriffstaktik dauerhaft zu unterbinden.

 

Drei verschiedene iOS-Apps aus der AceDeceiver-Familie sind zwischen Juli 2015 und Februar 2016 in den offiziellen App Store hochgeladen worden, und alle gaben vor Wallpaper Apps zu sein. Diese Apps haben Apples Code-Review mindestens sieben Mal erfolgreich umgangen mittels eines Verfahrens ähnlich dem von ZergHelper, bei dem das Verhalten der App je nach physischer geografischer Region, in der sie ausgeführt wird, angepasst wird. In diesem Fall zeigt AceDeceiver nur schädliches Verhalten, wenn sich der Benutzer in China befindet, aber dies wäre für die Angreifer jederzeit einfach zu ändern.

 

Die bösartigen iOS Apps stellen eine Verbindung zu einem Drittanbieter-App-Store her, der vom Autor kontrolliert wird und bieten iOS Apps oder Spiele zum Download an. Benutzer werden dazu gebracht, ihre Apple-IDs und Passwörter für mehr Funktionen einzugeben. Diese Anmeldeinformationen werden verschlüsselt zum C2-Server von AceDeceiver hochgeladen. Palo Alto Networks identifizierte auch einige frühere Versionen von AceDeceiver vom März 2015, die aber Enterprise-Zertifikate aufwiesen.

 

Palo Alto Networks´ Analyse von AceDeceiver deutet darauf hin, dass sich der FairPlay-MITM-Angriff zu einem weiteren beliebten Angriffsvektor für Nicht-jailbroken-iOS-Geräte entwickeln wird. Dies würde eine Bedrohung für Apple-Nutzer weltweit bedeuten. Palo Alto Networks hat IPS-Signaturen veröffentlicht (38914, 38915) und hat seinen URL-Filter und Threat Prevention aktualisiert, um Kunden vor dem AceDeceiver-Trojaner und vor der FairPlay-MITM-Angriffstechnik zu schützen. Palo Alto Networks WildFire erkennt alle Windows Clients von Aisi Helper als bösartig. Darüber hinaus empfiehlt Palo Alto Networks Benutzern, die nach März 2015 von Aisi Helper den Windows-Client oder iOS Apps installiert haben, diese Software und Apps sofort zu entfernen sowie ihre Apple-ID-Passwörter zu ändern. Darüber hinaus legt Palo Alto Networks iOS-Nutzern nahe, Zwei-Faktor-Authentifizierung für ihre Apple-IDs zu aktivieren.

 

Unternehmen empfiehlt Palo Alto Networks, zu überprüfen, ob irgendeine iOS App auf verwaltete Apple-Geräte mittels dieser Kennungen installiert wurde: com.aisi.aisiring, com.aswallpaper.mito und com.i4.picture. Da sich AceDeceiver auch über Enterprise-Zertifikate verbreitet, sollten Unternehmen auch nach unbekannten oder ungewöhnlichen Profilen Ausschau halten. Bis jetzt kommt der gesamte schädliche Datenverkehr von oder fließt zu Subdomains unter i4[.]cn. Unternehmen können auch auf entsprechenden Netzwerkverkehr achten, um potenzielle Aktivitäten von AceDeceiver zu identifizieren.

Palo Alto Networks GmbH

Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.