Forscher haben Malware in 17 iOS-Apps entdeckt, die aus Apples offiziellem App Store entfernt wurden.
Die Forscher haben 17 Anwendungen in Apples offiziellem App Store entdeckt, die mit Malware infiziert sind. Apple hat die Apps inzwischen aus dem App Store entfernt - aber eine "beträchtliche" Anzahl von iOS-Benutzern könnte sie installiert haben, so die Forscher.
Nach dem Herunterladen infizieren die bösartigen Anwendungen die Opfer mit einem Trojaner, der darauf ausgelegt ist, Betrug und werbebezogene bösartige Aktivitäten im Hintergrund auszuführen, einschließlich des ständigen Öffnens von Webseiten und des Klickens auf Links ohne jegliche Benutzerinteraktion.
"Das Ziel der meisten Klicker-Trojaner ist es, für den Angreifer auf Pay-per-Click-Basis Einnahmen zu generieren, indem sie den Website-Verkehr aufblähen", sagten Forscher von Wandera, die die bösartigen Anwendungen entdeckt haben, in einem Beitrag am Donnerstag. "Sie können auch dazu benutzt werden, das Budget eines Konkurrenten zu schröpfen, indem sie den dem Werbenetzwerk geschuldeten Saldo künstlich aufblähen.
Ein Apple-Sprecher sagte gegenüber Threatpost, dass die Anwendungen entfernt wurden, weil sie einen Code haben, der das künstliche Durchklicken von Anzeigen erlaubt, was eine Verletzung der Apple-Richtlinien darstellt. Der Sprecher sagte, dass Apple den App Store rigoros patrouilliert, um seine Kunden zu schützen und um Apps aufzuspüren, die möglicherweise versuchen, Kunden zu betrügen.
Apple gibt keinen Einblick in die Download-Zahlen für Apps im App Store, so dass die Forscher die Auswirkungen nicht mit Sicherheit quantifizieren können - aber die Anzahl der Installationen der Android-Äquivalente der Apps in Google Play zeichne ein schreckliches Bild, so die Forscher gegenüber Threatpost.
"Wenn man sich die Android-Pendants einiger dieser Apps ansieht - von denen es derzeit neun im Google Play Store gibt - haben sie zusammen über 1,06 Millionen Installationen", so die Forscher. "Man kann also mit Sicherheit sagen, dass die Zahl der betroffenen iOS-Nutzer erheblich sein könnte. Da der Entwickler außerdem mehr Zeit für die Entwicklung im Apple App Store aufgewendet zu haben scheint (51 Apps im App Store gegenüber 28 bei Google Play), gehen wir davon aus, dass ihre iOS-Apps noch mehr Nutzer erreichen.
Auf der Oberfläche bieten die infizierten Anwendungen nach dem Herunterladen eine "legitime" Funktionalität - und sogar die in jeder der Anwendungen angezeigten Anzeigen stammen aus legitimen Werbe-Frameworks.
Nach dem Herunterladen rufen die Anwendungen jedoch Links ab, einen nach dem anderen, über den C2-Server. Diese Links werden als betrügerische "Klicks" durch das Gerät des Opfers geöffnet, so dass der Server aktiv kontrollieren kann, welche betrügerische Aktivität zu welchem Zeitpunkt initiiert wurde.
"Die Links von C2 waren nicht dieselben, die für In-App-Werbung verwendet wurden; das bedeutet, dass der Benutzer legitime Werbung auf dem Bildschirm sah, während alle verdächtigen Links außer Sichtweite waren", so die Forscher gegenüber Threatpost.
Von dort aus ist der Angreifer in der Lage, Einnahmen durch Cost-per-Click-Verkehr zu erzielen, indem er das Gerät zwingt, Webseiten zu öffnen und auf Links im Hintergrund zu klicken.
Die Wandera-Forscher beobachteten, dass die mit dem Klicker-Trojaner verbundene Hintergrundaktivität ressourcenintensiv ist, weshalb der Angreifer den Prozess so konfiguriert hat, dass er nicht ständig läuft, um zu vermeiden, dass Benutzer gewarnt werden. Außerdem wird der in den Anwendungen identifizierte Trojaner zunächst versuchen, der Erkennung zu entgehen, indem er die Kommunikation mit dem Command-and-Control (C2)-Server verzögert.
"Wir haben festgestellt, dass er den Kontakt nach mehreren Tagen der Ruhephase herstellt und erst dann auftaucht, wenn die Mobilfunkverbindung hergestellt ist; das von einem Forscher an einem Testgerät verwendete Wi-Fi reichte nicht aus, um die bösartigen Verbindungen auszulösen", so die Forscher gegenüber Threatpost.
