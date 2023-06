Eine weitere Spyware wurde für gezielte Angriffe auf Apple-Geräte eingesetzt. Ähnlich wie die gewöhnlich von staatlichen Akteuren verwendete Spyware "Pegasus" kommt die "TriangleDB" genannte Überwachungssoftware diskret per iMessage auf ein iPhone und läuft dort nur im Arbeitsspeicher: Ein Neustart des Gerätes tilgt nicht nur die Spyware, sondern auch alle Spuren, wie die Sicherheitsfirma Kaspersky mitteilte.

Um Analyse und Entdeckung zu erschweren, lösche sich die Überwachungssoftware sonst nach 30 Tagen automatisch, könne aber auch länger eingesetzt werden. Eine Neuinfektion erfolge dann wieder per iMessage.

Kernel-Schwachstelle bringt Root-Rechte

Angreifer können die Spyware, die über eine Kernel-Schwachstelle Root-Rechte erlangt und damit praktisch das Gerät komplett übernimmt, der Analyse zufolge mit über 20 Befehlen fernsteuern. Dazu gehört die Option, tiefgreifend in das Dateisystem einzugreifen und Dateien sowohl zu extrahieren als auch zu erstellen und zu bearbeiten. Die Malware sei zudem in der Lage, die im Schlüsselbund gespeicherten Zugangsdaten des Opfers auslesen und dessen Standort verfolgen sowie weitere Module ausführen, um etwa Änderungen bei Dateien zu überwachen. Die Standortverfolgung arbeite gewöhnlich nur, solange das Display ausgeschaltet ist, erläutert Kaspersky – vermutlich, um den Nutzer nicht durch den kleinen vom Betriebssystem eingeblendeten Kompasspfeil misstrauisch zu manchen. Der Angreifer kann das aber auch dauerhaft einsetzen.

Bei der Untersuchung der Spyware sei man auf eine bestimmten "macOS only"-Funktion gestoßen, die in der iOS-Version nicht zum Einsatz kommt. Das deute entsprechend an, dass die Malware wohl auch gegen Macs eingesetzt werden soll, erklären die Sicherheitsforscher. Kaspersky will die Spyware weiter analysieren und hat andere Sicherheitsunternehmen dazu aufgerufen, Erkenntnisse darüber zu teilen.

Schwachstelle in iOS 16 offenbar gepatcht

Kaspersky rät Nutzern als Gegenmittel lediglich, Betriebssystem und Apps auf aktuellstem Stand zu halten. Das russische Softwareunternehmen hatte Anfang Juni erstmals auf diese "Operation Triangulation" getauften Spyware-Angriffe aufmerksam gemacht – genau am selben Tag, an dem der russische Inlandsgeheimdienst Apple vorwarf, dem US-Geheimdienst NSA mit iOS-Schwachstellen bei der Spionage zu helfen. Apple wies die nicht weiter untermauerte Anschuldigung in klaren Worten zurück.

Damals hieß es, die neueste angreifbare iOS-Version sei iOS 15.7, Apple habe die Schwachstelle im Februar 2023 gestopft. Zu diesem Zeitpunkt veröffentlichte der Hersteller allerdings nur einen Patch für iOS 16. Apple erlaubt es inzwischen, iOS und macOS durch einen Lockdown-Modus besser abzusichern, der speziell gegen derartige Spyware schützen soll.

