Infografik: Die umsatzstärksten iPhone-AppsWie die Security-Experten mitteilten, hat die Malware nicht gerade viele Nutzer erreicht. Bei der Analyse des Schadcodes und der Kontroll-Infrastruktur kam man auf gerade einmal 13 infizierte Geräte - vielleicht sind es auch einige mehr, aber die Zahl bleibt auf jeden Fall in dieser Größenordnung. Damit handelt es sich letztlich wohl entweder um ein Experiment von Malware-Autoren oder aber um gezielte Attacken gegen bestimmte Nutzer.
Fest steht, dass die Malware seit August 2015 aktiv ist und in der Zwischenzeit mehrfach verbessert wurde. Die betroffenen Smartphones sind mit iOS-Versionen zwischen 10.2.1 und 11.2.6 ausgestattet, also auf einem relativ aktuellen Stand. Wenn die Malware sich erst einmal auf den Geräten eingenistet hatte, bestand ihre Hauptaufgabe darin diverse Daten über das Gerät und den Nutzer sowie dessen Messenger-Kommunikation auszuspionieren.
Viel Vorarbeit nötig
Um auf die Smartphones zu gelangen, nutzten die Angreifer eine Mobile Device Management (MDM)-Software aus dem Open Source-Bereich und offensichtlich auch eine Menge an Social Engineering-Tricks, die die Nutzer dazu brachten, der Malware erst einmal einen Weg auf das Mobiltelefon zu öffnen. Die eigentlichen Schadroutinen wurden dafür in gefälschte WhatsApp- und Telegram-Apps verpackt und bevor diese sich installieren ließen, brachten die Angreifer die User dazu, über die MDM-Software zusätzliche Zertifikate zu installieren - immerhin lässt iOS nur die Ausführung von signierten Codes zu.Für die Praxis der zahlreichen iPhone-Nutzer hat die Malware im Grunde keine besondere Relevanz, wenn man einmal davon absieht, dass sie als Warnung taugt, auch auf dieser Plattform nicht zu sorglos Software zu installieren und sich letztlich doch besser auf den App Store zu verlassen. Typische Schädlinge, die durch einen Exploit weitgehend von allein in ein iPhone eindringen können, sind weiterhin extrem rar gesät und aufgrund der komplexen Infektionswege wohl Organisationen mit großen Ressourcen vorbehalten.
Ein interessanter Nebenaspekt bei der Sache ist der Versuch der Entwickler, ihre Herkunft zu verschleiern. Mit den Zertifikaten wurde der Eindruck erweckt, man habe es hier mit den allseits bekannten russischen Hackern zu tun. Allerdings zeigten verschiedene Indizien, dass die Malware-Autoren wohl eher in Indien zuhause sind - wo auch ausnahmslos alle Infektionen verzeichnet wurden.
Siehe auch: Apple holt bekannten Sicherheitsexperten & iPhone-Hacker an Bord