Malware für iPhones mit Jailbreak stiehlt Logindaten
Stefan Keller, den 22. April 2014
Es ist eine neue Malware aufgetaucht, die iPhones, iPads und iPod touch befallen kann und es auf Login-Daten von Apple-IDs abgesehen hat. Die Malware läuft „nur“ auf Geräten mit Jailbreak und vermutlich auch nur, wenn man inoffizielle Softwarequellen hinzufügt.
Der Anti-Virus-Hersteller Sophos berichtet aktuell über die Malware. Demnach ist die Malware eine dynamisch geladene Bibliothek, die sich auf eine Add-on-Schnittstelle verlässt, beispielsweise CydiaSubstrate oder MobileSubstrate. Damit lässt sich ganz allgemein von Apple vorgesehenes Verhalten in iOS beeinflussen – jedoch nur auf Geräten mit Jailbreak, weil Apple diese Art der Schnittstelle ganz bewusst normalerweise verbietet.
Was passiert?
Unflod.dylib hängt sich, nach allem was Sophos bislang auskundschaften konnte, in die Funktion SSLWrite ein und kann so Daten abgreifen, die verschlüsselt über das Internet übertragen werden, bevor sie verschlüsselt werden. Danach wird nach HTTP-Requests gesucht, die /WebObjects/?MZFinance.woa/?wa/?authenticate beinhalten und damit Login-Daten übertragen. Schließlich werden Apple-ID und dazugehöriges Passwort an eine von zwei fest im Quellcode definierte IP-Adressen gesendet.
Keine akute Bedrohung
iOS-Geräte ohne Jailbreak sind überhaupt nicht betroffen, da eine solche Bibliothek sich ohne Jailbreak nicht einklinken kann. Geräte mit einem Jailbreak sind vermutlich nicht sehr gefährdet, da die Schadsoftware aktiv installiert werden muss. Es sei, laut Sophos, jedenfalls noch nicht gelungen, herauszufinden, wo Unflod ursprünglich herkommt. Es scheint nach bisherigen Erkenntnissen sehr unwahrscheinlich, dass sie aus offiziellen Repositories stammt.