haben Experten des IT-Security-Unternehmens Palo Alto Networks hingewiesen. Die Schadsoftware namens YiSpecter missbraucht dazu private APIs. Apple wurde bereits über die Malware informiert, berichtete cnet.de.
In Apples App Store hat das Security-Unternehmen mehr als 100 Apps gefunden, die private APIs missbraucht haben, um die Code-Review von Apple zu umgehen. „Das heißt, die Angriffstechnik des Missbrauchs privater APIs kann auch separat verwendet werden und alle normalen iOS-Benutzer betreffen, die einfach nur Apps aus dem App Store herunterladen“, so das Sicherheitsunternehmen.
Seit November 2014 ist YiSpecter Palo Alto zufolge mindestens schon aktiv und verbreitet sich seitdem über ungewöhnliche Wege, die wohl bisher auch die Entdeckung verhindert haben.
Die Malware setzt sich aus vier Komponenten zusammen, die alle mit Unternehmenszertifikaten signiert sind. Diese laden sich durch Missbrauch privater APIs von einem Command-and-Control-Server herunter und installieren sich. Drei der Komponenten verbergen ihre Icons vor iOS Springboard, damit es Benutzern schwerer fällt sie aufzuspüren suchen und zu löschen kann. Sie nutzen dazu den Namen und die Logos von System-Apps.
YiSpecter kann – einmal installiert – weitere Apps herunterladen, installieren und starten. Außerdem kann die Malware Anwendungen durch von ihr heruntergeladene Apps ersetzen und die Ausführung anderer Apps behindern, um Werbung anzuzeigen. YiSpecter ist zudem in der Lage, in Safari die Standardsuchmaschine, Lesezeichen und geöffnete Seiten zu ändern und Geräteinformationen zu einem Server der Angreifer hochzuladen.
Wird YiSpecter manuell gelöscht, erscheint die Malware nach einem Neustart automatisch wieder. Anzeichen für eine Infektion sind zusätzliche „System-Apps“ auf dem Gerät, die mittels Tools von Drittanbietern erkannt werden können. Palo Alto Networks hat Signaturen veröffentlicht, um den Datenverkehr von YiSpecter zu blockieren. Außerdem gibt das Unternehmen Betroffenen Ratschläge, wie sie YiSpecter manuell entfernen können.
In Apples App Store hat das Security-Unternehmen mehr als 100 Apps gefunden, die private APIs missbraucht haben, um die Code-Review von Apple zu umgehen. „Das heißt, die Angriffstechnik des Missbrauchs privater APIs kann auch separat verwendet werden und alle normalen iOS-Benutzer betreffen, die einfach nur Apps aus dem App Store herunterladen“, so das Sicherheitsunternehmen.
Seit November 2014 ist YiSpecter Palo Alto zufolge mindestens schon aktiv und verbreitet sich seitdem über ungewöhnliche Wege, die wohl bisher auch die Entdeckung verhindert haben.
Die Malware setzt sich aus vier Komponenten zusammen, die alle mit Unternehmenszertifikaten signiert sind. Diese laden sich durch Missbrauch privater APIs von einem Command-and-Control-Server herunter und installieren sich. Drei der Komponenten verbergen ihre Icons vor iOS Springboard, damit es Benutzern schwerer fällt sie aufzuspüren suchen und zu löschen kann. Sie nutzen dazu den Namen und die Logos von System-Apps.
YiSpecter kann – einmal installiert – weitere Apps herunterladen, installieren und starten. Außerdem kann die Malware Anwendungen durch von ihr heruntergeladene Apps ersetzen und die Ausführung anderer Apps behindern, um Werbung anzuzeigen. YiSpecter ist zudem in der Lage, in Safari die Standardsuchmaschine, Lesezeichen und geöffnete Seiten zu ändern und Geräteinformationen zu einem Server der Angreifer hochzuladen.
Wird YiSpecter manuell gelöscht, erscheint die Malware nach einem Neustart automatisch wieder. Anzeichen für eine Infektion sind zusätzliche „System-Apps“ auf dem Gerät, die mittels Tools von Drittanbietern erkannt werden können. Palo Alto Networks hat Signaturen veröffentlicht, um den Datenverkehr von YiSpecter zu blockieren. Außerdem gibt das Unternehmen Betroffenen Ratschläge, wie sie YiSpecter manuell entfernen können.
