Auch wenn viele Apple iOS-Nutzer bislang immer noch davon aus gehen, dass Sie von alltäglichen Infektionen verschont bleiben, sind nun doch mehr als 75.000 iPhones und iPads mit der Malware “AdThief” kompromittiert worden. Bislang ist noch nicht ganz geklärt wie sich das Schadprogramm auf den Geräten verbreitet, allerdings können sich “normale” iPhone und iPad User glücklich schätzen, denn es werden “nur” iOS-Geräte befallen, dessen Besitzer mittels “Jailbreak” die Nutzungsbeschränkungen des Herstellers ausgehebelt haben.
Was ist ein Jailbreak?
Sinn und Zweck eines angewandten Jailbreaks (Gefängnisausbruch) ist es mittels spezieller Software, Zugriff auf interne Funktionen sowie das Dateisystem zu erhalten und damit das System für erweitere Einstellungen und Installation u.a. von Raubkopien zu öffnen. Im Linux und damit auch im Android-Bereich, spricht man umgangssprachlich von “Rooten”.
Was macht die Infektion auf dem mobilen Gerät?
Hat sich die Malware einmal tief ins System eingenistet, wartet sie im Hintergrund darauf, dass der der Nutzer eingebettete Links in Werbebanner von installierten Apps klickt. Bei jedem Klick auf ein Banner, werden Informationen des Anbieters übermittelt und dieser bekommt dafür einen vereinbarten Geldbetrag gutgeschrieben.
Die Malware ändert die Zuordnung des eigentlichen Anbieters (Entwickler-ID), leiten die Werbung auf eigene Adressen um und somit fließen die Werbeeinnahmen nicht an den eigentlichen App-Entwickler, sondern vermutlich zu den Cyberkriminellen. Experten haben herausgefunden, dass bislang mehr als 22 Millionen Bannereinblendungen von ca. 15 Anbieter von der Malware zu eigenen Zwecke umgeleitet werden. Sicherheitsexperten von Virus Bulletin haben die Malware untersucht und in einer Studie ausführlich beschrieben.

Bildschirmfoto 2014-08-28 um 13.52.45

Funktion des AdThief

Diese Anbieter-Schnittstellen sind betroffen:

  • Youmi
  • Sina Weibo
  • Vpon
  • Umeng MobClick
  • Umeng App Union
  • AdSaga
  • MdotM
  • InMobi
  • MIX SDK
  • Domob
  • AdWhirl
  • AdsMogo
  • Google Mobile Ads SDK
  • AderMob
  • PolySDK
  • GuoHe
  • Komli Mobile

Man kann davon ausgehen, dass den persönlichen Daten der Anwender auf den infizierten Geräten keine Gefahr besteht, vielmehr sind hier die Entwickler von Apps angeschmiert, denn diese finanzieren ihre Applikationen aus Werbeeinnahmen. Hinter dieser Malware steckt ein chinesischen Hacker mit dem Nickname “Rover12421″.
Fazit:
Es finden immer wieder speziell Angriffe auf die Jailbreak-Community statt. Letztendlich liegt es aber an jedem Anwender selber, ob das Gerät über ein Jailbreak oder mit erlangten Rootrechten manipuliert wurde. Dennoch ist dadurch das Gerät leider auch zugänglicher für Malware geworden und kann zu kriminellen Zwecke ausgenutzt werden, hier sollte man besonders Vorsichtig sein.