Gestern tauchte eine neue Schadprogrammfamilie mit dem Namen WireLurker auf, die Geräte sowohl mit dem mobilen Betriebssystem iOS als auch Computer unter Mac OS X infiziert. Die Sichehreitsfirma Palo Alto Networks entdeckte den Schädling und glaubt, WireLurker könnte eine neue Ära der Apple-Schadprogramme einläuten.
Seit Jahren warnen Experten vor einem Ansturm schädlicher Programme, die auf Apple-Systeme abzielen. In ähnlich übertriebener Weise behaupten die Fans der kalifornischen Firma, ihre Computer seien immun gegen Schadprogramme. Die Realität liegt aber wie so oft irgendwo dazwischen: Apple-Schadprogramme existieren zweifelsohne, sind aber nicht so verbreitet wie Windows- und Android-Schädlinge.
„WireLurker wurde verwendet, um 467 OS-X-Programme im chinesischen Maiyadi App Store zu trojanisieren“, so Claud Xiao, Sicherheitsforscher bei Palo Alto Networks. „In den letzten sechs Monaten wurden diese 467 Programme über 356.104 Mal heruntergeladen und könnten Hunderttausende Nutzer infiziert haben.“
Um es ganz klar zu sagen: Diese Bedrohung hat nur Nutzer eines beliebten, chinesischen App-Sotres infiziert, aber das bedeutet nicht, dass sie sich nicht weiter verbreiten kann.
Interessanterweise kann WireLurker, anders als die meisten bisherigen iOS-Bedrohungen, auch Geräte infizieren, die nicht mit einem Jailbreak freigeschaltet worden sind. Das ist einer der Gründe dafür, dass Palo Alto Networks glaubt, dass WireLurker der Scheidepunkt für Apple-Schadprogramme ist.
Die anderen Gründe sind, dass WireLurker eine größere Bedrohung darstellt, als bisherige Apple-Schadprogramme; dass es erst das zweite bekannte Schadprogramm ist, das iOS-Geräte per USB angreifen kann (während Sie mit einem Mac verbunden sind); dass es automatisch schädliche Apps generieren kann; und dass es der erste bekannte Schädling ist, der bereits installierte iOS-Apps infizieren kann.
WireLurker infiziert Macs über Standard-Infektionswege und wartet auf dem infizierten Computer darauf, dass der Anwender sein iOS-Gerät mit dem USB-Anschluss verbindet. Wenn es soweit ist, beginnt WireLurker damit, schädliche Apps auf dem iOS-Gerät zu installieren. Der Schädling sucht vor allem nach drei beliebten Apps: den chinesischen Varianten von eBay und PayPal sowie einem bekannten Foto-Programm. WireLurker deinstalliert die legitimen Versionen und ersetzt diese mit seinen schädlichen Varianten.
Apple-Schädling #WireLurker infiziert #OSX-Computer und überträgt sich dann per USB auf #iOS-Geräte
Tweet
Ursprünglich berichteten die Forscher, WireLurker werde aktiv weiterentwickelt, so dass er sich verändern werde und es unmöglich sei, derzeit festzustellen, wo sein eigentlicher Zweck liege. Doch kurz vor der Veröffentlichung des Forschungsberichts sagte Palo Alto Networks unseren Threatpost-Kollegen, dass Apple schnell reagiert und die schädlichen Zertifikate von WireLurker zurückgezogen hat, so dass die Hintermänner die komplette Schädlingsentwicklung gestoppt haben.
Palo Alto Networks bietet verschiedene Tipps, wie man WireLurker aus seinem Netzwerk fernhalten kann. Die meisten davon richten sich an Firmen, aber es gibt auch Hilfe für Heimanwender:
1. Verwenden Sie eine Antivirenlösung und halten Sie diese aktuell.
2. Gehen Sie in die „Systemeinstellungen“ von OS X und dort auf „Sicherheit und Privatsphäre“. Stellen Sie es so ein, dass nur Apps aus dem offiziellen App Store und von bekannten Entwicklern heruntergeladen werden können (weitere Informationen dazu im folgenden Video).
3. Und noch einmal zu diesem Thema: Laden Sie keine Apps von Drittanbieter-Marktplätzen herunter.
4. Halten Sie iOS und OS X aktuell.
5. Seien Sie vorsichtig, wenn Sie Ihr iOS-Gerät laden, indem Sie es mit Computern verbinden, die nicht Ihnen persönlich gehören.
Auch die Kaspersky-Experten untersuchen WireLurker bereits genauer und werden auf Securelist eine Analyse veröffentlichen. Übrigens entdecken und blockieren die Kaspersky-Lösungen den Schädling als Trojan-Downloader.OSX.WireLurker.a, so dass Sie geschützt sind.