Paper zu iOS-Malware AdThief veröffentlicht

75.000 iPhones und iPads sollen mit der Malware AdThief verseucht sein, die es den Hackern ermöglicht, Werbeeinnahmen von gleich einem Dutzend Anbietern zu eigenen Gunsten zu manipulieren. Nach dem Bekanntwerden im März wurde nun eine ausführliche Analyse von Axelle Apvrille in einem Paper zu AdThief veröffentlicht.

Die französische Expertin Axelle Apvrille hat ein ausführliches Paper (PDF) mit einer Analyse zur AdThief-Malware veröffentlicht, die erstmals im März 2014 bekannt wurde.

AdThief manipuliert Adcodes unter iOS

Anders als die Malware “unfold” nimmt AdThief nicht die Apple-Login-Daten von Nutzern ins Visier, sondern manipuliert Adcodes. AdThief (auch “spad” genannt), ersetzt vorhandene Entwickler-API-Keys für Werbenetzwerke mit fremden. Im Ergebnis werden so mögliche Werbeeinnahmen von Entwicklern, die auf Werbung innerhalb ihrer Apps vertrauten, auf das Konto der Hacker umgeleitet.

AdThief nutzt Cydia Substrate

Nachgewiesen wurde, dass die iOS-Malware Cydia Substrate als Schnittstelle verwendet, um Ersetzungen auf Dateiebene durchzuführen. Entsprechend sind einzig Nutzer von jailbroken iPhones, iPads oder iPod touch überhaupt betroffen.

Die Liste der betroffenen Werbenetzwerke wirkt umfangreich. Sie umfasst 15 Anbieter beziehungsweise deren SDK oder andere Softwareschnittstellen:

• Youmi
• Sina Weibo
• Vpon
• Umeng MobClick
• Umeng App Union
• AdSaga
• MdotM
• InMobi
• MIX SDK
• Domob
• AdWhirl
• AdsMogo
• Google Mobile Ads SDK
• AderMob
• PolySDK
• GuoHe
• Komli Mobile

Demgegenüber fällt die Zahl der verseuchten Geräte relativ gering aus. Diese Einschätzung ist vor dem Hintergrund zu sehen, dass die AdThief-Malware für iOS vor allem den chinesischen Markt im Blick hat. Denn das Gros der betroffenen Adkits (8 von 15) betrifft ausschließlich chinesische Werbung. Vier Netzwerke aus den USA und zwei aus Indien sind ebenfalls nicht von der Manipulation verschont geblieben.

Die Malware soll ungefähr 22 Millionen Bannereinblendungen zu eigenen Gunsten manipuliert haben. Der mögliche Umsatz ist entsprechend kein Pappenstiel.

Entwickler der iOS-Malware bekannt

Die Spezialistin aus Frankreich konnte anhand von ein paar Debugging-Kommentaren, die im Quellcode der Malware hinterlassen wurden, den vermeintlichen Entwickler ausfindig machen. Es handelt sich um einen chinesischen Hacker mit dem Nickname “Rover12421″ (alias “zerofile”). Dieser hat bereits bestätigt, Teile des Codes geschrieben zu haben, streitet aber ab, mit der Verbreitung von AdThief zu tun haben. Entsprechend ist die iOS-Malware offenbar als Auftragsarbeit zu sehen.

“Rover12421″ betreibt ein eigenes Blog und arbeitet hauptsächlich an Android-Hacks, die man über sein Github-Repository herunterladen kann. Nach dem Bekanntwerden seiner Mitarbeit an der iOS-Malware AdThief sollte man jedoch Abstand davon nehmen, sie zu nutzen.