Malware für iOS lässt Geräte reihenweise abstürzen

Android-Malware (Bild: Fraunhofer SIT)

Mit der Malware YJSNPI werden iOS-Geräte zum Absturz gebracht. Die Software überfrachtet dazu den Startbildschirm mit App-Symbolen, bis der Springbord-Prozess, der den Startbildschirm verwaltet, nicht mehr kann.

Wer sich die Malware YJSNPI eingefangen hat, wird sich über sein abstürzendes iPhone oder iPad wundern, doch ganz unschuldig ist der Nutzer an der Infektion nicht. Die Malware verwendet nämlich speziell präparierte iOS-Profile, die nicht signiert sind. Nutzer müssen die Installation bestätigen.

Trend Micro warnt vor einem neuen Trojaner für iOS, der seit Ende November 2016 überwiegend über Soziale Medien wie Twitter und Youtube sowie in Japan verbreitet wird. Die YJSNPI genannte Malware installiert ein schädliches Profil auf iOS-Geräten, das diese unbrauchbar macht und abstürzen lässt.

erteilt werden die unsignierten Profile über speziell präparierte Websites – die ihre Besucher über Twitter- und Youtube-Links erhalten. Vor allem der Apple-Browser Safari kann per JavaScript dazu gebracht werden, beim Aufruf der Seite ein schädliches Profil automatisch herunterzuladen.

Profil-Dateien erlauben es Entwicklern und Administratoren verschiedene Geräte- und iOS-Einstellungen anzupassen, beispielsweise für die Konfiguration von Netzwerken und VPNs, E-Mail-Konten und WLAN oder auch für die Nutzung von Zertifikaten. Laut Trend Micro ist es aber auch möglich, mithilfe eines schädlichen Profils Datenverkehr umzuleiten.

YJSNPI wiederum platziert ein App-Symbol auf dem Startbildschirm, das andere Symbole überlagert. Wird dieses Symbol angeklickt, füllt der Trojaner den Startbildschirm mit weiteren Symbolen, bis der dafür zuständige Betriebssystem-Prozess Springboard überlastet wird und das Gerät einfriert. Die zusätzlichen Symbole lassen sich ebenfalls anklicken, wodurch allerdings nur ein größeres Bild des Symbols angezeigt wird.

Die Installation des Profils erfolgt allerdings nur mit ausdrücklicher Zustimmung des Nutzers. Da das Profil nicht signiert ist, muss ein Opfer zuerst eine Warnmeldung bestätigen. Erst danach kann der Trojaner seine Arbeit aufnehmen und sein Icon über anderen Symbolen des Startbildschirms einblenden.

Die Sicherheitsforscher weisen zudem darauf hin, dass sich die Schadsoftware mit dem von Apple angebotenen Tool Apple Configurator 2 entfernen lässt. Allerdings ist die Anwendung nur für Macs verfügbar. Außerdem muss das schädliche Profil – sprich der Trojaner – ausgeführt werden, damit es in Apple Configurator 2 angezeigt wird. Andernfalls muss ein befallenes iPhone oder iPad auf die Werkseinstellungen zurückgesetzt werden, wobei nicht gesicherte Daten verlorengehen.

Trend Micro geht davon aus, dass Cyberkriminelle künftig auch in anderen Ländern und Regionen schädliche Profil-Dateien gegen iOS-Geräte einsetzen werden. Die Motive der Hintermänner seien bisher jedoch unklar. Trend Micro vermutet einen bösen Streich oder Hacker, die ihren Bekanntheitsgrad steigern wollen.

Tags :Quellen:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising