AceDeceiver: die Malware, die JEDES iPhone infizieren kann

Ein App Store mit raubkopierten Anwendungen hat Apples Codeüberprüfung umgangen und stiehlt nun Nutzerdaten.

Viele iPhone-Nutzer halten ihre Smartphones für uneinnehmbare Festungen, die Apple eigens für sie entwickelt hat: iPhones wird nachgesagt sicher zu sein, besonders im Vergleich mit Android-Geräten. Und es stimmt, iPhones sind tatsächlich sicherer als Android-Smartphones, aber das heißt nicht, dass sie absolut sicher sind. Es gibt keine Festungen, die so sicher sind, dass sie nicht eingenommen werden könnten.

Wir haben in unseren Blogbeiträgen nicht nur eine, sondern bereits mehrere üble Bedrohungen für iOS besprochen und Ihnen Tipps gegeben, wie Sie Ihr Apple-Gerät schützen können. Malware für iOS ist stark im Kommen und das jüngste Beispiel hierfür, das von Palo Alto Networks entdeckt wurde, scheint eins der bisher gefährlichsten zu sein.

Warum? Weil weder ein Ihres iOS-Gerätes erforderlich, noch ein gestohlenes Unternehmenszertifikat notwendig ist, um Schadsoftware zu installieren. Die neue Malware-Familie nennt sich AceDeceiver und kann nahezu jedes iOS-Device infizieren.

Gemeinnützige Absichten

Alles fing mit der neuartigen Idee an, sich zu nehmen was man haben will, ohne dafür zu zahlen. In diesem Fall handelte es sich um eine Methode, um iOS-Apps raubzukopieren, die sich FairPlay-Man-in-the-Middle-Angriff nennt. Wir werden an dieser Stelle keine Zeit darauf verwenden, das zugrundeliegende Konzept der Man-in-the-Middle-Angriffe zu erklären — in diesem Blogbeitrag können Sie mehr darüber erfahren. In diesem Artikel wollen wir uns stattdessen damit auseinandersetzen, was FairPlay ist und wie AceDeceiver funktioniert.

FairPlay bezeichnet den DRM-Schutz (Digital Rights Management), den Apple für Musik und Videos verwendet, sowie für iOS-Apps. Wie Sie vermutlich wissen, können iPhone-Nutzer Anwendungen in iTunes über ihren Computer erwerben und dann an ihre Mobilgeräte übertragen. Hierfür ist natürlich ein Nachweis erforderlich, dass der Nutzer die entsprechende App tatsächlich erworben hat. Dieser Beweis wird über einen von iTunes für jede Anwendung generierten Autorisierungscode geliefert. So funktioniert FairPlay.

Das Problem besteht darin, dass dieser Code für jede App immer der Gleiche ist. Wenn man ihn einmal abgefangen hat, kann man ihn somit verwenden, um die gleiche Anwendung auf unzähligen iPhones und iPads zu installieren. So funktionieren FairPlay-Man-in-the-Middle-Angriffe.

Eine App mit zwei Gesichtern

Über diese Methode entstand schließlich ein umfassender App Store mit raubkopierten Anwendungen. Die hierfür verwendete Technik basierte auf einem Windows-Programm namens Aisi Helper, das ursprünglich für iPhone-Jailbreaks, Datensicherungen und iOS-Neuinstallationen verwendet wurde. Dann wurde eine neue Funktion zu diesem Programm hinzugefügt: über dieses neue Feature wurde eine gleichnamige App in iPhones eingespeist, die mit einem Computer mit installiertem Aisi Helper verbunden waren. Diese App zeigte dann eine Vielzahl raubkopierter Anwendungen an, die Nutzer kostenfrei herunterladen konnten.

Paradoxerweise wurde die App Aisi Helper selbst über die FairPlay-Man-in-the-Middle-Methode auf iPhones installiert. Aus diesem Grund mussten die Entwickler der App, um Aisi Helper in iPhones einspeisen zu können, ihre Anwendung zunächst einmal in den App Store hochladen. Auf diese Weise erhielten sie einen legitimen Authentifizierungscode für die App selbst. Das Problem bestand allerdings darin, dass Apple keinen separaten App Store mit raubkopierten Anwendungen in seinem eigenen App Store beherbergen wollte.

Um Apples Codeüberprüfung hinters Licht zu führen, gab Aisi Helper vor, eine harmlose und langweilige Gratis-Wallpaper-App zu sein. Um sicherzustellen, dass der Betrug nicht auffliegt, haben die Kriminellen gleich zwei Tricks miteinander kombiniert: Einerseits veröffentlichten sie ihre Versionen dieser Anwendung nur im App Store der USA und dem von Großbritannien — weitab von chinesischen Nutzern. Andererseits überprüfte die App bei ihrem ersten Start den Standort des Mobilgerätes, und wenn dieser außerhalb Chinas lag, zeigte sie lediglich Wallpaper an (und das ist auch nach wie vor so).

Demzufolge hätten sich die Codeüberprüfer des App Stores der USA in China aufhalten müssen, um das Interface des Raubkopie-App-Stores zu sehen, was sehr unwahrscheinlich ist; das Gleiche galt für andere Nutzer, die sonst womöglich zufällig darauf gestoßen wären. Aus diesem Grund war niemand unbeabsichtigterweise dahintergekommen, dass die App tatsächlich mehr ist, als eine weitere Wallpaper-App.

Apple hat mittlerweile alle Versionen des Aisi Helper aus dem App Store entfernt. Allerdings hat sich herausgestellt, dass die Malware damit noch lange nicht vor dem Aus steht. Um einen FairPlay-Man-in-the-Middle-Angriff durchführen zu können, muss man nämlich eigentlich keine App im App Store haben. Es reicht vollkommen aus, dass die App einmal im App Store gewesen ist. Und das trifft eindeutig zu auf den als „Wallpaper-App“ getarnten Raubkopie-App-Store namens Aisi Helper.

Un-FairPlay

Was also ist das Problem mit einem Raubkopie-App-Store, wenn wir einmal von legalen und moralischen Bedenken absehen? Nun ja, wenn Ihnen jemand sagt „Ich habe etwas gestohlen und gebe es Ihnen gratis“ — dann sollten Sie dem keinen Glauben schenken. Unter keinen Umständen. Die Wahrscheinlichkeit, dass Sie jemand hereinlegen möchte, liegt bei 99,9 Prozent.

Und genau das ist auch der Fall mit dieser App. Eine Zeit lang war sie harmlos für ihre Nutzer. Aber an einem bestimmten Punkt angelangt, fragte die App die Apple-ID-Zugangsdaten der Nutzer ab, „um weitere Features“ zur Verfügung stellen zu können. Im Anschluss daran wurden diese Daten auf den Command-Server von AceDeceiver hochgeladen.

Damit sollte denke ich klar sein, warum wir im Kaspersky-Daily-Blog auf AceDeceiver zu sprechen kommen. Der Sicherheitsfehler in FairPlay ist noch nicht behoben. Und selbst wenn es ein Patch geben würde, wären ältere Versionen des Betriebssystems vermutlich nach wie vor anfällig für die gleiche Art Angriffe.

Wie kann ich mich schützen?

Die gute Nachricht ist, dass diese konkrete Attacke keine Nutzer außerhalb Chinas ins Visier nimmt. Die schlechte Nachricht ist, dass es für Kriminelle ein Leichtes wäre, diese Schwachstelle weiter auszunutzen, indem sie neue Malware in Umlauf bringen, die auf Nutzer anderer Länder abzielt und so weiteren Schaden anzurichten. Was wir damit sagen wollen, ist dass wir unabhängig davon wo Sie leben — in China oder andernorts — folgende Empfehlungen geben:

1. Führen Sie keinen Jailbreak Ihres iPhones durch. Das war noch nie ein sicheres Verfahren und wie sich jetzt herausgestellt hat, ist nicht einmal die für einen Jailbreak erforderliche Software sicher.

2. Wir haben immer empfohlen, diese Regel auf Google Play anzuwenden, aber es sieht ganz so aus, als sollte sie auch für den App Store umgesetzt werden: seien Sie vorsichtig bezüglich der Apps, die Sie installieren. Die Entwickler von AceDeceiver haben gezeigt, dass die Codeüberprüfungen von Apple mit ein bisschen Trickserei umgangen werden können. Leider ermöglicht iOS keinen Schutz über Antivirensoftware, so dass Sie — wenn Ihr Mobilgerät einmal mit Malware infiziert ist — auf sich selbst gestellt sind.

3. Zum Glück können Sie Ihre anderen Devices schützen. Installieren Sie wo möglich zuverlässige Sicherheitslösungen. Im beschriebenen Fall hätte eine Antivirensoftware auf einem PC die App Aisi Helper als bösartigen AceDeceiver erkannt.

Tipps