Menü
Mac & i

Fake-Mobilfunkanbieter-Apps: Spyware "Exodus" zielte auch auf iPhone-Nutzer ab

Die als Support-App getarnte Malware missbrauchte Sicherheitsforschern zufolge Apples Enterprise-Zertifikate, um auch Zielpersonen mit iPhone auszuhorchen.

vorlesen Drucken Kommentare lesen 27 Beiträge
Fake-Mobilfunkanbieter-Apps: Spyware "Exodus" zielte auch auf iPhone-Nutzer ab

(Bild: Shutterstock.com / weedezign)

Die angeblich von Strafverfolgungsbehörden eingesetzte Android-Überwachungssoftware "Exodus" wurde offenbar auch auf iOS portiert: Bei der Analyse der Befehlsinfrastruktur der Malware sei man auf Phishing-Seiten gestoßen, über die auch eine iPhone-App zum Download angeboten wurde, wie die Sicherheitsfirma Lookout nun berichtet. Zur Tarnung hätten sich die Apps als Support-Angebote großer Mobilfunkanbieter – aus Italien und Turkmenistan – ausgegeben.

Nutzer seien nach der Installation angewiesen worden, die App installiert zu lassen und möglichst mit einem WLAN verbunden zu bleiben, schreibt Lookout, auf diese Weise sollten offenbar Gerätedaten übertragen werden. Um die Installation auf dem iPhone außerhalb des App Stores zu ermöglichen, habe die Malware auf von Apple ausgegebene Enterprise-Zertifikate gesetzt, heißt es weiter. Nutzer müssen dann nach der Installation erst dem Zertifikat ihr Vertrauen aussprechen, bevor sie die App öffnen können.

Die Fake-Support-App forderte Zugriffsberechtigungen.

(Bild: Screenshot: Lookout/Techcrunch)

Nach einem Hinweis durch die Sicherheitsfirma seien die Zertifikate inzwischen vom dem iPhone-Konzern zurückgezogen worden, das Öffnen der damit signierten Spyware ist somit nicht länger möglich.

Die iPhone-Spyware konnte verschiedene Nutzerdaten abgreifen, darunter Kontakte, Audioaufzeichnungen, Fotos, Videos sowie den Standort. Dies sei über "dokumentierte Schnittstellen" erfolgt und nicht über das Ausnutzen von Schwachstellen, schreiben die Sicherheitsforscher, der Nutzer musste der App dafür also die entsprechenden Berechtigungen erteilen. Zudem sei es möglich gewesen, eine Audioaufnahme aus der Ferne zu starten, so Lookout. Weitere Details wollen die Sicherheitsforscher auf dem kommenden Kaspersky Security Analyst Summit bekanntgeben.

Die iOS-Version der Malware habe nur ein Teilmenge der Funktionen der Android-Version geboten, die sich anhand eines Exploits in bestimmten Varianten offenbar Root-Rechte verschaffen konnte. Manche der Fake-Netzbetreiber-Apps seien vorübergehend sogar über den Google Play Store zum Download verfügbar gewesen. Ob die Spyware-Anbieter auch versucht haben, ihre Apps in den App Store zu bringen und an Apples Prüfprozess gescheitert sind oder gleich den Weg über Enterprise-Zertifikate gewählt haben, bleibt unklar.

Enterprise-Zertifikate sind der einzige Weg, um Apps in größerem Stil außerhalb des App Stores auf iOS-Geräte zu bringen. Sie sind eigentlich nur für den internen Gebrauch in Firmen gedacht, aber Apple hat offenbar Probleme, den Zertifkat-Missbrauch in den Griff zu bekommen.

Günstigste Angebote

Alle Preise inkl. MwSt. und ggf. zuzüglich Versandkosten. Details zu den Angeboten auf der jeweiligen Webseite.

Apple iPhone 8  64GB grau

iPhone 8

Apple iPhone XR  64GB weiß

iPhone XR

Apple iPhone XS  64GB grau

iPhone XS

Apple iPhone XS Max 256GB grau

iPhone XS Max

Weitere Angebote für Apple iPhone 8 64GB grau im Heise‑Preisvergleich

(lbe)