DarkSideLoader: Illegale Appstores haben es auf iOS-Geräte ohne Jailbreak abgesehen

December 23, 2015
Proofpoint Staff

Proofpoints Targeted Attack Protection Mobile Defense hat mehrere Apps auf iOS-Geräten entdeckt (d. h. iPhones und iPads), die nicht mit den Apps im Apple App Store übereinstimmten.  MDM-Auswertungen ergaben, dass es sich dabei um Geräte ohne Jailbreak handelte.

Im Laufe der weiteren Analyse entdeckte das Forschungsteam von Proofpoint einen illegalen Appstore, der es Benutzern von iOS-Geräten ermöglicht, Apps aus einem Katalog mit angeblich 1 Million Applikationen auf ihr iPhone oder iPad herunterzuladen, ohne dass dafür ein Jailbreak der Geräte erforderlich wäre.  Der illegale Appstore bot sogar den kostenlosen Download kostenpflichtiger Apps an.

Diese Analyse konzentriert sich auf vShare, einen illegalen App-Server, auf dem seit mehreren Jahren Apps für die Nutzung auf Android-Geräten und auf iOS-Geräten mit Jailbreak bereitgestellt werden. vShare hat jetzt eine Möglichkeit gefunden, seinen Store auch für iOS-Geräte ohne Jailbreak nutzbar zu machen. Derartige illegale Appstores werden von uns als „DarkSideLoader“ bezeichnet.

Worin besteht die Gefahr?

Die Möglichkeit, iOS-Apps von einem DarkSideLoader-Marktplatz auf iOS-Geräte ohne Jailbreak zu laden, stellt sowohl für Benutzer als auch Unternehmen als Arbeitgeber ein Risiko dar.  Diese Apps können private iOS-APIs ausnutzen, um Zugriff auf Betriebssystemfunktionen zu erlangen. Mit Apps, die von Apple zur Veröffentlichung im offiziellen App Store geprüft wurden, wäre ein solcher Zugriff nicht möglich. Die Apps könnten auch bekannte oder Zero-Day-Schwachstellen ausnutzen, die zu einem Jailbreak der Geräte führen können oder dazu dienen, den illegalen Apps Administratorrechte einzuräumen.

Das Beispiel der Android-Apps verdeutlicht das Potenzial dieser Bedrohung. Proofpoint-Forscher haben sowohl den Android- als auch den iOS-Marktplatz untersucht, auf die die vShare-DarkSideLoader-Marktplatz-App zugreift.  Bei Android konnte festgestellt werden, dass ein Rooten der Geräte versucht wurde, sowie die Installation von Apps ohne Zustimmung des Benutzers und die Kommunikation mit bekannten Schadsites im Internet.

Das Umgehen der offiziellen Apple App Store-Kontrollen ermöglicht den Download von Apps, die als Remote-Access-Trojaner agieren können. Dadurch erlangen Angreifer Zugriff auf die Mobilgeräte von Mitarbeitern, wenn diese sich aktiv in internen Unternehmensnetzwerken bewegen. Forschern waren bereits zuvor Fälle von illegalen Appstores bekannt, die iOS-Geräte ohne Jailbreak anvisieren, doch diese Marktplätze schienen nur für Geräte zugänglich zu sein, die diese von einer chinesischen IP-Adresse aus aufriefen. [1] Der vShare-Marktplatz ist insofern erwähnenswert, als er für iOS-Geräte von jedem Ort der Welt zugänglich ist, was eine globale Ausweitung dieser Angriffsmethode darstellt.

Mit dieser Methode können auch Uploads auf die Konfigurationsprofile von iOS-Geräten ausgeführt werden, die es einem Angreifer ermöglichen, die VPN-Einstellungen zur Umleitung des Netzwerkverkehrs auf dessen Man-in-the-Middle-Knoten zu konfigurieren oder verschiedene Einstellungen im Betriebssystem zu ändern (Abb. 1).


Abbildung 1: Ein iPhone-Konfigurationsprofil, das vom vShare-App-Marktplatz installiert wurde

Was ist Sideloading?

Sideloading ist der Prozess des Downloads und der Installation von Apps auf einem Mobilgerät von einer Quelle, die kein offizieller Appstore für Verbraucher bzw. kein gültiger Appstore eines Unternehmens ist. Auf Android-Geräten kann das erfolgen, indem man in den allgemeinen Geräteeinstellungen den Download von Apps aus unbekannten Quellen erlaubt.

Auf iOS-Geräten war die Installation nicht genehmigter Apps bislang nur möglich, wenn ein Jailbreak des iPhone oder iPad durchgeführt wurde. Die DarkSideLoader-Methode ermöglicht jetzt jedoch das Sideloading von Apps über ein betrügerisches oder gestohlenes Zertifikat zur Verteilung von Enterprise-Apps, kombiniert mit der Neusignierung dieser Apps.

Wie ist es möglich, einen DarkSideLoader-Appstore zu erstellen und zu betreiben?

Auf Android ist zum Download von Apps aus inoffiziellen Appstores nur erforderlich, dass der App-Download auch aus anderen Stores als dem Google Play Store erfolgen kann.

In iOS ist die DarkSideLoader-Methode komplizierter. In diesem Beispiel wird die vShare-App auf das Gerät des Benutzers geladen, wenn dieser auf der Website vshare[.]com auf einen Link klickt. Dadurch wird die App „com.appvv[.]vshare“ auf das iOS-Gerät des Benutzers geladen. Die App wurde mit einem von Apple ausgestellten Verteilungszertifikat für Enterprise-Apps signiert. Solche Zertifikate werden normalerweise an Unternehmen ausgestellt, die ihre eigenen internen Appstores für Mitarbeiter betreiben wollen. Durch Klicken auf den Link auf einer Website, die Links zu dem illegalen Appstore hostet, wird die DarkSideLoader-App heruntergeladen (Abb. 2).  Wenn nun der Benutzer in iOS 7 und 8 auf die App tippt, um sie zu öffnen, wird er gefragt, ob er dem Entwickler der App vertraut (Abb. 3).


Abbildung 2: Installation der Downloader-App „vShare“


Abbildung 3: Benachrichtigungsdialog zum Vertrauen der Downloader-App „vShare“

Nach Klicken auf „Vertrauen“ wird die heruntergeladene App ausgeführt.  Auf dem Gerät wird ein Enterprise-Zertifikat installiert und diesem vertraut, was der App ermöglicht, in iOS ausgeführt zu werden. Die App kann auch weitere Apps herunterladen.


Abbildung 4: Ein Verteilungszertifikat für Enterprise-Apps  und die Apps, die von dem illegalen Marktplatz unter diesem Zertifikat auf einem iPad installiert wurden

In iOS  wird durch Tippen auf die App kein Vertrauensdialog angezeigt. Vielmehr muss der Benutzer die App „Einstellungen“ auf dem iOS-Gerät öffnen und auf „Profile“ klicken. Dort tippt er auf den Namen des Entwicklers und wählt „Vertrauen“ aus. Von diesem Zeitpunkt an ist die DarkSideLoader-Marktplatz-App aktiviert und kann jede beliebige App auf das Gerät des Benutzer herunterladen.

Um die durch iOS auferlegten Hürden für einen versehentlichen Download von Apps aus DarkSideLoader-Stores zu überwinden, bieten die illegalen App-Marktplätze hilfreiche und leichte Anleitungen, wie die nötigen Vertrauenseinstellungen geändert werden können (Abb. 5 bis 7).


Abbildung 5: Anleitung für Benutzer, Apps aus inoffiziellen App Stores zu vertrauen


Abbildung 6: Anleitung für Benutzer, Apps aus inoffiziellen App Stores zu vertrauen 


Abbildung 7: Anleitung für Benutzer, Apps aus inoffiziellen App Stores zu vertrauen

Wenn der Benutzer eine App aus einem DarkSideLoader-Marktplatz herunterlädt, lädt die Marktplatz-App die jeweilige illegale App auf das Gerät. Der Marktplatz signiert die App digital neu mit dem Verteilungszertifikat für Enterprise-Apps. Weil dem Unternehmen auf dem iOS-Gerät vertraut wird, werden diese Apps genauso ausgeführt wie eine App, die aus dem offiziellen Apple App Store heruntergeladen wurde.

Ein illegaler App-Marktplatz, der die DarkSideLoader-Methode verwendet, verfügt über großzügige Neusignierungsmöglichkeiten für Apps. Legale Spiele und andere Apps werden entschlüsselt, modifiziert und mit einem Enterprise-Zertifikat neu signiert, damit sie von Benutzern aus dem illegalen App-Marktplatz heruntergeladen werden können.

Abbildung 8 zeigt den Inhalt einer vShare-Marktplatz-App auf einem iOS-Gerät ohne Jailbreak (Abb. 8).


Abbildung 8: Heruntergeladener Inhalt für die Marktplatz-App „vShare“

Warum sollte jemand einen DarkSideLoader-Marktplatz nutzen?

Wenn diese Marktplätze ein so hohes Risiko darstellen, warum sollte irgendjemand überhaupt auf den Gedanken kommen, dort Apps herunterzuladen? Die Erfahrung mit Android-Apps zeigt, dass Benutzer - bzw. deren Kinder -  auf einen illegalen App-Marktplatz zurückgreifen, um Spiele, Hintergrundbilder und andere Medien herunterzuladen, ohne etwas dafür bezahlen zu müssen. Sie können auch auf Apps zugreifen, über die sie kostenlos Zugang zu gestreamten Filmen und anderem Inhalt sowie zu Produktivitäts-Apps erhalten.  Zudem gibt es dort Apps, die im offiziellen Apple App Store nicht zu haben sind, wie z. B. zum Raubkopieren von Inhalt und zum Download von BitTorrent-Dateien.

Der Marktplatz vShare wirbt mit 1 Million verfügbaren Apps. Proofpoint fand mehr als 15.000 iOS-Apps auf dieser DarkSideLoader-Website, verglichen mit über 400.000 Apps auf deren Sideloading-Dienst für Android. Auf der Website wird angegeben, dass 40 Millionen Anwender diesen Dienst nutzen, und Untersuchungen von Proofpoint ergaben, dass etwa 25 Prozent davon iOS-Nutzer sind.

Das Angebot des kostenlosen Downloads beliebter kostenpflichtiger Apps ist ein attraktiver Köder, der Nutzer auf den DarkSideLoader-Marktplatz lockt und zum Klicken verleitet. Alle kostenpflichtigen Top-Ten-Apps des Apple App Store sind im vShare-Marktplatz kostenlos verfügbar, darunter bekannte Titel wie Minecraft und Geometry Dash. Andere beliebte kostenpflichtige iOS-Apps, die auf diesem Markt als kostenloser Download angeboten werden, sind Grand Theft Auto: San Andreas und Clash of Clans. Zudem sind Business-Produktivitäts-Apps von Herausgebern wie Adobe und Microsoft und Raubkopie-Apps für Filme kostenlos verfügbar, wie etwa MovieBox.


Abbildung 9: Auf illegalem Marktplatz erhältliche Apps

Benutzer, die auf diese Märkte zugreifen, wähnen sich beim Download dieser Apps auf der sicheren Seite, weil sie Geräte mit Originalsoftware, d. h. ohne Jailbreak, verwenden und die Apps scheinbar von legitimen Herausgebern stammen. Was sie nicht merken ist, dass diese Apps von vornherein oder nach bestimmten Modifizierungen Träger von Schadcode sein können. Apps von illegalen Marktplätzen können auf private Betriebssystem-APIs zugreifen oder bekannte und Zero-Day-Schwachstellen im Betriebssystem ausnutzen und die Kontrolle über das Gerät erlangen.

Betrügerische Enterprise-App-Zertifikate und DarkSideLoader-Marktplätze

Es gibt mehrere Möglichkeiten für illegale Marktplätze, an Verteilungszertifikate für Enterprise-Apps zu gelangen. 

  1. Zertifikate werden arglistig durch Erstellen eines gefälschten Unternehmens erlangt. Apple prüft alle Anfragen zur Erlangung eines Enterprise-App-Verteilungszertifikats, indem es die Anfrage des Unternehmens überprüft, E‑Mail- und Telefonkontaktdaten bestätigt und 299 US-Dollar auf einer Kreditkarte belastet werden. Die Betreiber von DarkSideLoader-Marktplätzen können überzeugende gefälschte Unternehmen kreieren und gestohlene Kreditkartendaten verwenden, um sich ein Zertifikat ausstellen zu lassen.  Sie brauchen nur eine Telefonnummer und eine E-Mail-Adresse.
  2. Zertifikate werden arglistig durch Nachahmen eines echten Unternehmens erlangt. Bei diesem Angriff greift der Betreiber auf die Websitedaten eines echten Unternehmens zurück und gibt vor, ein Mitarbeiter dieses Unternehmens zu sein. Er bringt Apple dazu, ihm einen Account für Enterprise-iOS-Entwickler einzurichten und ein Verteilungszertifikat für Enterprise-Apps auszustellen. Zur Zahlung der Ausstellungsgebühr können gestohlene Kreditkartendaten verwendet werden. Durch das Imitieren eines echten Unternehmens können Angreifer handfeste Informationen wie etwa eine D-U-N-S-Nummer vorlegen, um eine glaubhafte Anfrage zu stellen.
  3. Zertifikate werden von Unternehmen gestohlen, die bereits darüber verfügen. Bei diesem Angriff stiehlt der Hacker per Phishing die Zugangsdaten der Apple-Entwickler-Website eines Unternehmens, das legale iOS-Apps anbietet. Es gibt Hunderttausende legaler Entwickler von iOS-Apps. Mit den Zugangsdaten eines App-Entwicklers kann sich der Hacker in dessen Account einloggen und ein neues Verteilungszertifikat für Enterprise-Apps anfordern oder eine Kopie eines bereits vorhandenen herunterladen.

Auf dem vShare-App-Marktplatz werden verschiedene Zertifikate für Enterprise-Apps verwendet.

Ältere Analysen zeigen, dass die Zertifikate in der Regel von chinesischen Unternehmen stammten. Neuere Untersuchungen zeigen jedoch, dass gefälschte Zertifikate jetzt auch Unternehmen in anderen Ländern zugeordnet werden können.

Wird ein neuer DarkSideLoader-Marktplatz gefunden, widerruft Apple das entsprechende Enterprise-App-Verteilungszertifikat.  Dadurch wird verhindert, dass weitere Benutzer diese und weitere illegale Apps herunterladen können. Über einen Zeitraum von Wochen, in denen iOS-Geräte Widerruflisten für Zertifikate prüfen, wird die Funktion der heruntergeladenen illegalen Apps eingestellt. Diese müssten dann erneut heruntergeladen werden.

Wir haben jedoch beobachtet, dass die Betreiber illegaler Marktplätze mehrere Verteilungszertifikate für Enterprise-Apps erlangen können. vShare beispielsweise hat in den letzten Monaten zahlreiche Zertifikate verwendet. Als diese ihre Gültigkeit verloren, wurden sie einfach durch neue ersetzt. (Am Ende dieses Beitrags, unter den Indicators of Compromise, finden Sie eine Liste der Unternehmen, die sich für ein Zertifikat registriert haben und in dieser Untersuchung berücksichtigt wurden.)

Wirtschaftliche Anreize für illegale App-Marktplätze

Es gibt einen einfachen Grund für die Existenz illegaler App-Marktplätze und dafür, dass Nutzer jetzt mühelos kostenlose Apps und Content mithilfe von DarkSideLoader-Methoden herunterladen können: Geld. Diese Appstores streichen Gewinne ein, indem Sie den Benutzern Werbung zeigen. Einer dieser Dienste ist VEarnDollar.

Eine andere Möglichkeit für diese Stores ist das Einbetten von Schadcode, z. B. Remote-Access-Trojaner, in eigentlich legitime Apps. Der Zugang dazu kann dann an Angreifer verkauft werden, die Unternehmen oder Regierungsbehörden infiltrieren wollen. Tatsächlich hat die Untersuchung des vShare-Marktplatzes für Android bereits Apps zutage gebracht, die versuchen, Geräte zu rooten und unerlaubt andere Apps zu installieren. 

Seit 2011 sind sie in Marktplätzen zu finden, die Apps für Jailbreak- und gerootete Geräte vertreiben.  Ihre Marktpräsenz wird jetzt durch die Möglichkeit, App-Downloads durch Enterprise-Signierungszertifikate auf Geräten ohne Jailbreak anzubieten, erheblich ausgedehnt.

Die Marktplatz-Domain ist seit über sieben Jahren registriert, wechselt aber regelmäßig die Eigentümer. Die derzeitigen Eigentümer haben die Domain am 14. Oktober 2015 übernommen.  Wir glauben, dass sie im Mai 2014 an einen chinesischen Zwischenhändler übertragen wurde.  Dieser Zwischenhändler wartete dann über ein Jahr, bevor er die Domain Mitte Oktober 2015 an die aktuellen Betreiber eines aktiven DarkSideLoader-Markplatzes übertrug.

Die Person, die auf vshare[.]com als Kontakt aufgeführt ist, hat 1.055 registrierte Domains.  Die Domain vshare[.]com selbst hat 2015 allein 17-mal die IP-Adressen gewechselt.

Zusammenfassung und Empfehlungen

Eine Umfrage in der Woche vom 18. Dezember 2015 unter den zehn größten US-Enterprise-Kunden von Proofpoint, die TAP Mobile Defense nutzen, ergab, dass 40 Prozent der Unternehmen Mitarbeiter haben, die einen illegalen DarkSideLoader-App-Marktplatz aktiv verwenden.

Kurz gesagt: Verbraucher sollten illegalen App-Marktplätzen nicht vertrauen und diese auch nicht nutzen. Selbst mit iOS-Geräten ohne Jailbreak nicht. Unternehmen sollten speziell entwickelte Lösungen einsetzen, die das Vorhandensein von Apps aus DarkSideLoader-Marktplätzen erkennen. Das Scannen der Legitimität von Apps, die Suche nach illegalen App-Marktplatz-Downloadern und das Scannen nach unbekannten DarkSideLoader-Enterprise-Zertifikaten sind die wirksamsten Mittel, mit denen potenzielle Folgen illegaler Apps in Unternehmensumgebungen eingegrenzt werden können.

Verweise

[1] http://venturebeat.com/2013/04/18/chinese-app-store-using-apples-own-enterprise-app-distribution-tech-to-distribute-pirated-apps/

Indicators of Compromise (IOCs – Anzeichen einer Gefährdung):

Proofpoint hat die Nutzung von Zertifikaten durch folgende Unternehmen festgestellt:

Limitless Holdings-2 Limited

Jiangxi Installation Engineering Co, LTD  

Fujian Zhengton Electronic Technology Co, Ltd

Ningbo Xihe Children Products Co., Ltd

HOF & Co DMCC

Beliebte kostenpflichtige Apps, die auf vShare kostenlos zur Verfügung stehen

Die Top 10 der kostenpflichtigen Apps im Apple App Store sind allesamt kostenlos im illegalen Appstore „vShare“ verfügbar (Stand 22. Dezember 2015):

Name der App Herausgeber
Minecraft: Pocket Edition Mojang
Heads Up! Warner Bros
Cut the Rope: Magic   ZeptoLab UK Limited
NBA 2K16       2K
Geometry Dash          RobTop Games AB
Mineraft: Story Mode            Telltale Inc
Scribblenauts Unlimited        Warner Bros
Toca Blocks    Toca Boca AB
Lucky Block for Minecraft JK2Designs LLC
Terraria 505 Games

 

Weitere beliebte kostenpflichtige Apps, die kostenlos auf vShare verfügbar sind:

Name der App Herausgeber
Clash of Clans Supercell
Spotify Music  Spotify
Candy Crush Saga      King.com Limited
Madden NFL Mobile  Electronic Arts
Grand Theft Auto: San Andrea Rockstar Games
Plague Inc Ndemic Creations
Facetune   Lightricks Ltd

 

Beliebteste kostenpflichtige Business-Apps, die kostenlos zur Verfügung stehen:

Name der App Herausgeber
Docs To Go Premium DataViz, Inc
Scanner Pro Readdle
Splashtop 2 remote desktop Splashtop Inc.
PDF Office       Readdle
Printer Pro Readdle