Trojaner: Kasperskys iPhones mit neuer Zero-Klick-Malware infiziert
Die in Moskau ansässige IT-Sicherheitsfirma Kaspersky berichtet von einem Trojaner für iOS(öffnet im neuen Fenster) , der ohne jegliche Nutzerinteraktion auskommen soll und auf Geräten des Unternehmens selbst gefunden worden sei. Die Malware sei dabei in dieser Form bisher nicht bekannt gewesen. Die für die Malware genutzten Sicherheitslücken hat Apple wohl auch unabhängig von einem größeren Bekanntwerden bereits vor einiger Zeit geschlossen, so dass aktuelle iOS-Versionen laut Kaspersky damit nicht mehr infiziert werden könnten.
Sogenannte Zero-Click-Exploits sind besonders aufwendig zu erstellen, da die Sicherheitslücken dafür oft sehr schwierig zu finden sind und deren Ausnutzung enorme Ressourcen benötigt. Das zeigte Ende 2021 etwa Googles Project Zero, das darlegte, wie für einen Trojaner eine VM aus Logikgattern in einem Fax-Algorithmus umgesetzt worden ist. Darüber hinaus werden für Zero-Click-Lücken oft mehrere Sicherheitslücken verbunden und die Malware selbst im System möglichst gut versteckt.
Bei dem von Kaspersky analysierten Trojaner soll eine "unsichtbare" iMessage-Nachricht mit einem schadhaften Anhang der Ausgangspunkt des Angriffs gewesen sein. Unter Ausnutzung mehrerer Lücken werde der Anhang letztlich ausgeführt und Malware installiert. Diese sei in der Lage dazu, Aufnahmen mit dem Mikrofon durchzuführen, Fotos aus Messengern abzugreifen, eine Standortbestimmung durchzuführen und einige weitere Aktivitäten des Smartphones aufzuzeichnen, so Kaspersky. Das Unternehmen sei dabei aber wohl nicht das Hauptziel der Spyware-Kampagne gewesen.
Erste technische Details verfügbar
Auf Nachfrage des IT-Magazins Arstechnica(öffnet im neuen Fenster) verweist ein Sprecher von Kaspersky auf die Sicherheitslücke mit der ID CVE-2022-46690 im IO-Mobile-Framebuffer von Apple-Produkten, die für den Trojaner verwendet worden sei. Diese erlaubte auch laut Apple das Ausführen von Code mit Kernel-Rechten. Diese Lücke ist mit iOS-Version 16.2 Ende 2022 geschlossen worden.
Das an der Analyse beteiligte Team hat zudem erste vorläufige Ergebnisse seiner Untersuchungen veröffentlicht(öffnet im neuen Fenster) . Die ältesten Spuren der Angriffe finden sich demnach bereits im Jahr 2019. Die Beteiligten veröffentlichten darüber hinaus eine Liste mit Domains der identifizierten Command-and-Control-Server. Kaspersky nennt die Trojaner-Kampagne Operation Triangulation, weil die Geräte über Canvas-Fingerprinting identifiziert werden, wobei ein gelbes Dreieck in den Gerätespeicher geschrieben werde.
Parallel zu den Veröffentlichungen von Kaspersky veröffentlichte auch der russische Inlandsgeheimdienst FSB einen Bericht(öffnet im neuen Fenster) über eine angeblich großangelegte Spionagekampagne von US-amerikanischen Geheimdiensten, die sich auf Mobilgeräte von Apple fokussiere. Ob dies in Verbindung zu dem Bericht von Kaspersky steht, ist derzeit allerdings nicht bekannt.
Kurz nach Beginn des russischen Angriffs auf die Ukraine begann das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Kaspersky-Produkten zu warnen. Begründet wird das unter anderem mit Verweis auf Zweifel an der Zuverlässigkeit des Herstellers. Dieser Schritt war aber intern äußerst umstritten .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.