Predator Spyware kann Apple-Geräte über Kamera und Mikro ausspionieren

Anbieter zum Thema

Jamf Software Germany GmbH

PresseBox - unn | UNITED NEWS NETWORK GmbH

sysob IT-Distribution GmbH & Co. KG

FTAPI Software GmbH

Die Predator-Spyware kann durch das Unterdrücken von Auf­zeich­nungs­an­zei­gen auf Apple-Geräten Nutzer unbemerkt über Kamera und Mikrofon ausspionieren. Obwohl Apple Schutzmechanismen implementiert hat, sind User dieser Malware größtenteils ausgeliefert.

Nachdem die von der Intellexa Alliance entwickelte Spyware „Predator“ bereits 2023 heftige Kritik erhielt, weil sie zur Überwachung von Journalisten, Aktivisten und politischen Figuren durch autoritäre Regierungen eingesetzt wurde, steht sie nun erneut im Fokus. Das Threat-Labs-Team von Jamf habe nach festgestellt, dass die Spyware in der Lage ist, auf Apple-Ge­räten die Aufzeichnungsanzeigen zu deaktivieren. Die Aufzeichnungsanzeigen hat Apple mit der iOS-Version 14 eingeführt, um seine Nutzer zu schützen, indem in der Statusleiste von iPhones und iPads kleine Punkte aufleuchten, wenn die Kamera in Kombination mit dem Mi­kro­fon (grüner Punkt) oder nur das Mikrofon (oranger Punkt) aktiviert sind. Legitime An­wen­dun­gen können diese Anzeigen nicht unterdrücken, doch Predator ist Jamf zufolge genau dazu in der Lage. Die Spyware könne die vom Anzeigesystem genutzten Sensoraktivitäten an einem zentralen Knotenpunkt abfangen, bevor diese die Benutzeroberfläche erreiche. Zudem setze sie den Objective-C-Selbstzeiger von kritischen Objekten vor Methoden­aus­führ­ung auf „NULL“, sodass Änderungen des Aufzeichnungsstatus ohne Fehlermeldung oder Anzeigen auf der Be­nutzeroberfläche verworfen würden.

Kaspersky Security Bulletin

Täglich 500.000 neue Bedrohungen, hauptsächlich für Windows-Nutzer

Nahezu unerkennbarer Angriff

Dass Spyware iOS-Geräte über ihre integrierten Kameras und Mikros unbemerkt überwachen können, ist seit Jahren bekannt. Allerdings ist Jamf zufolge Predator bisher die erste kom­mer­ziell verfügbare Spyware, die diesen Ansatz nutzt. Daraus schließt das Forschungsteam, dass bei der Entwicklung der Predator-Spyware aktuelle Erkenntnisse aus der Sicherheits­for­schung berücksichtigt wurden. Es sei wahrscheinlich, dass Predator für Sicherheitsexperten und End­nutzer noch weitere Überraschungen bereithalten werde.

„Strenge Kontoeinstellungen“

Neue WhatsApp-Einstellungen sollen vor Cybernagriffen schützen

Der Untersuchung von Predator sei eine Analyse von „NeReboot“ durch eine andere For­schungs­ab­teilung von Jamf vorausgegangen. NeReboot ist eine Technik, die zeigt, wie Malware ein Herunterfahren des Geräts simulieren und gleichzeitig die Über­wach­ungs­funk­tio­nen auf­rechterhalten kann. 2022 untersuchten die Forscher die Vorgehensweise der Malware, die wie folgt abläuft:

• 1. Abfangen des Herunterfahren-Prozesses

• 2. Injizieren in die SpringBoard- und BackBoard-Daemons

• 3. Blockieren des Starts von SpringBoard und Ausblenden der gesamten Benutzeroberfläche

• 4. Unterdrücken jeglicher physischer Rückmeldung, sodass der Nutzer denkt, das Gerät wäre aus, obwohl Mikrofon und Kamera weiterhin aktiv sind

Predator verfolge hingegen einen grundlegend anderen Ansatz. Anstatt ein Herunterfahren des Geräts zu simulieren, unterdrücke die Spyware selektiv nur die Aufzeichnungsindikatoren, währ­end das Gerät voll funktionsfähig bleibe. Dies ist den Forschenden zufolge eine subtilere Vorgehensweise, denn das Telefon des Opfers funktioniere normal.

Somit stelle Predator auch nach drei Jahren ein signifikantes Risiko für die Privatsphäre und die Daten von Apple-Nutzern dar. In ihrer technischen Analyse gehen die Forscher genauer auf die Funktionsweise von Predator ein und wie die Spyware die iOS-Aufnahmeindikatoren um­geht. Die Kernerkenntnisse sind:

• Ein einzelner Hook, der in die Methode „SBSensorActivityDataProvider._handle­New­Domain­Data:“ integriert sei, ermögliche das Umgehen der Anzeigen für die Kamera und das Mi­kro­fon, indem der Selbstzeiger auf „NULL“ gesetzt werde. Ein Hook ist eine Pro­gram­mier­tech­nik, die es erlaubt, den normalen Ablauf eines Programms zu unterbrechen oder zu modifizieren, um zusätzliche Funktionalität bereitzustellen.

• Das VoIP-Aufnahmemodul verfüge nicht über eingebaute Mechanismen zur Unterdrückung der Indikatoren, was bedeute, dass die Angreifer, die Predator nutzen, zunächst manuell die Funktion „HiddenDot“ aktivieren müssen, um die Anzeige von Kamera- und Mikrofon­ak­ti­vi­tä­ten zu unterdrücken und somit unbemerkt Audio- und Videoaufnahmen durchzuführen.

• Das Predator-Modul „CameraEnabler“ lokalisiere interne Framework-Funktionen durch das Abgleichen von Instruktionsmustern anstelle der Auflösung von Symbolen.

Infektion mit Israelischer Spionagesoftware Pegasus erkennen

Pegasus-Malware auch für iOS eine Gefahr

Security-Learning

Zwar liefert Jamf in seinem Blogbeitrag neben den Kernerkenntnissen auch Indicators of Compromise. Schutzempfehlungen für Apple-User geben die Forscher allerdings nicht. Dies könnte daran liegen, dass Predator dem Bericht zufolge eine hochentwickelte Malware ist, die möglicherweise noch spezialisierteren forensischen Zugriff erfordert, um sie erkennen und bekämpfen zu können.

Generell gilt für Nutzer, ihre Geräte regelmäßig mit Software-Updates zu versorgen, starke Pass­wörter zu verwenden und nur legitime Apps aus offiziellen Quellen herunterzuladen. Zudem sollten sie ein Auge auf die Berechtigungen werfen, die sie diesen Apps gewährt haben, insbesondere was Kamera und Mikrofon angeht. Entfernen Sie Berechtigungen, die nicht not­wendig sind und achten Sie auf ungewöhnliches Verhalten, wie unerklärlichem oder beson­ders hohem Datenverrauch, plötzlichen Leistungseinbußen oder seltsamen Pop-ups und Warn­mel­dungen.

Schwachstelle in Apples Find-My-Funktion

Forscher entwickeln Tool zur Ausnutzung von Satellitenkommunikation

(ID:50768321)