Eine gefälschte Website gibt vor, iPhone-Benutzer in die Lage zu versetzen, einen iOS-Gefängnisausbruch herunterzuladen - fordert sie aber letztendlich dazu auf, eine Spiele-App herunterzuladen, und führt Klickbetrug durch.
Schlechte Schauspieler nutzen einen kürzlich bekannt gewordenen iOS-Fehler mit einer gefälschten Website aus, die vorgibt, iPhone-Benutzern die Möglichkeit zu geben, aus dem Gefängnis auszubrechen. In Wirklichkeit, so warnen die Forscher, ermöglicht die Website den Angreifern letztlich die Durchführung von Klickbetrug.
Ein Jailbreak, eine Methode, um Apples Beschränkungen hinsichtlich der auf dem iPhone laufenden Anwendungen und des Codes zu umgehen, ist für Benutzer attraktiv, die benutzerdefinierten Code installieren, Funktionen hinzufügen oder Sicherheitsforschung außerhalb des Apple-Ökosystems betreiben wollen.
Die gefälschte Website dreht sich um eine Schwachstelle namens "checkm8", die Hunderte von Millionen von iPhones betrifft und Angreifern über einen nicht blockierbaren Hack Zugriff auf das System auf der Ebene des Mobiltelefons gewährt. Insbesondere gibt die Website vor, dass die Nutzer checkra1n herunterladen können, einen bald veröffentlichten Jailbreak, der den Fehler "checkm8" nutzt.
Die gefälschte Website für den Gefängnisausbruch (checkrain[.]com) wurde innerhalb von 24 Stunden nach der offiziellen Website des Gefängnisausbruchs (checkra1n[.]com) registriert. Im Gegensatz zur echten Website lädt diese gefälschte Website den Ausbruch jedoch nicht herunter, sondern verwickelt den Endbenutzer in einen Pay-per-Click-Online-Werbeschwindel.
"Dieser neue böswillige Schauspieler Talos hat Behauptungen entdeckt, den checkra1n-Gefängnisausbruch zu liefern", sagten Forscher von Cisco Talos in einem Beitrag vom Dienstag. "Die Website behauptet sogar, mit populären Gefängnisausbruchsforschern wie 'CoolStar' und Ian Beer vom Google-Projekt Zero zusammenzuarbeiten. Die Seite versucht, legitim auszusehen, indem sie die Nutzer dazu auffordert, scheinbar eine Anwendung herunterzuladen, mit der sie ihr Telefon aus dem Gefängnis holen können. Es gibt jedoch keine Anwendung, dies ist ein Versuch, ein bösartiges Profil auf dem Endgerät des Nutzers zu installieren".
Wenn Benutzer die gefälschte Website besuchen, sehen sie einen Download-Button, der vorgibt, den checkra1n jailbreak auf ihr Telefon zu laden (unten ist ein Video, das zeigt, wie die gefälschte Website funktioniert).
Die Website enthält einige rote Flaggen, die Besucher darauf hinweisen können, dass es sich um eine Fälschung handelt. So heißt es auf der Website beispielsweise, dass der Jailbreak für Geräte mit den Chipsätzen A5 bis A13 funktioniert - checkkm8 (und folglich der checkra1n Jailbreak) betrifft jedoch nur iOS-Geräte mit den Chipsätzen A5 bis A11.
"Zusätzlich schlägt die Website vor, dass der Benutzer den checkra1n jailbreak ohne PC installieren kann, während in Wirklichkeit der checkkm8-Exploit erfordert, dass das iOS-Gerät im DFU-Modus ist und über das Apple-USB-Kabel ausgenutzt werden kann", so die Forscher.
Um den iOS-Jailbreak herunterzuladen, wird der Benutzer aufgefordert, ein "mobileconfig"-Profil auf seinem iOS-Gerät zu installieren. Ein "mobileconfig"-Profil ist eine Art Konfigurationsprofil, das mit Apples iPhone Configuration Utility für IT-Abteilungen und Mobilfunkanbieter erstellt wird.
Beim Herunterladen eines Jailbreaks (obwohl es von der vom Entwickler verwendeten Methode abhängt) müssen Sie im Allgemeinen "einem Profil/Zertifikat vertrauen, um unsignierten Code zu installieren, der nicht von Apple signiert ist", sagte Warren Mercer, Technical Lead bei Cisco Talos gegenüber Threatpost.
Die .mobileconfig-Dateien machen es einfach, Netzwerkeinstellungen an iOS-Geräte zu verteilen - können aber auch für böswillige Zwecke verwendet werden, wie z.B. das Zeigen von Geräten auf böswillige Server und die Installation böswilliger Zertifikate. Das Konfigurationsprofil scheint in dieser Situation jedoch nicht für diese bösartigen Funktionen verwendet zu werden, teilten die Forscher Threatpost mit.
"Wir würden auch gerne die Antwort darauf wissen, dieses bösartige Profil hat nur die Apple-WebClip-Funktionalität missbraucht und nicht versucht, privilegierten Zugriff auf die Geräte zu erhalten", sagte Mercer gegenüber Threatpost. "Diese Methode erlaubt es dem Angreifer, die Übergänge der Web-Seiten auf eine ästhetisch perfektere Art und Weise zu erzwingen, d.h. ohne Suchleiste, Lesezeichen oder URL-Leiste, damit der Benutzer ihre Ziele sehen kann.
Dieses Profil wird mit einem SSL-Zertifikat geliefert (das die echte checkra1n-Website nicht verwendet): "Dies ist ein weiterer Schritt, den der Schauspieler höchstwahrscheinlich in dem Versuch unternommen hat, den Benutzer anzulocken", so die Forscher.
Sobald die "App" heruntergeladen und installiert ist, erscheint ein checkra1n-Symbol auf dem Telefon des Benutzers. Das Symbol sieht für den Benutzer wie eine App aus, aber in Wirklichkeit ist es ein Lesezeichen zu einem Web-Seiten-Clip. Wenn der Benutzer auf das Symbol klickt, wird eine Webseite im Vollbildmodus geladen (ohne Suchleiste oder URL-Leiste, so dass sie immer noch wie eine App aussieht), die sagt: "Überprüfen Sie Ihr Gerät, bevor Sie auf checkra1n jailbreak zugreifen".
Stattdessen erfolgen mehrere Umleitungen auf dem iOS-Gerät des Benutzers, was den Benutzer schließlich dazu auffordert, eine iOS-App aus dem Apple App Store namens Pop!Slots (eine Spielautomaten-App) herunterzuladen. Die Webseite weist die Benutzer dann an, sieben Tage lang mit der iOS-Spielapplikation "Spaß zu haben", um sicherzustellen, dass die Freischaltung des Gefängnisses abgeschlossen ist.
"Dies geschieht letztendlich durch Klickbetrug, was zu mehrfachen Verifizierungsketten führt und dann in einer iOS-Spiel-Installation endet, bei der auch Käufe in der Anwendung möglich sind", so die Forscher. "Das ist offensichtlich Unsinn - der Benutzer wird lediglich mehr interaktive Sitzungen durch das Spiel anbieten, was zu zusätzlichen Einnahmen für diesen Angreifer führen kann.
Die Kampagne richtet sich an eine Reihe potenzieller Opfer weltweit, unter anderem in den USA, Großbritannien, Frankreich, Nigeria, Irak, Vietnam, Venezuela, Ägypten, Georgien, Australien, Kanada, der Türkei, den Niederlanden und Italien.
Für Forscher ist der gefährlichste Teil der Kampagne der Download des "mobileconfig"-Profils. Während diese Kampagne das Profil nicht auf bösartigere Weise als Klickbetrug zu nutzen schien, betonten die Forscher, dass Internetnutzer niemals ein unbekanntes Profil aus dem Internet installieren sollten.
"Diese bösartige Website führt einfach zu Klickbetrug. Aber dieselbe Technik könnte auch für bösartigere und kritischere Aktionen verwendet werden. Statt eines 'Web-Clip'-Profils könnten die Angreifer ihre eigene MDM [Mobile Device Management]-Anmeldung implantieren", sagten sie.
