Für einen Malware-Autoren ist es immer ein Problem, wie er Schadsoftware auf den Rechner seines Opfers übertragen kann. Eine ungewöhnliche und gefährliche Methode hat jetzt Trend Micro entdeckt. Programmierer nutzen für die Erstellung von iOS und Mac-Apps meist Apple Xcode, oft werden dabei Projekte von anderen Programmierern integriert. In zwei Xcode-Projekten, die auf Github bereitgestellt waren, fand Trend Micro eine ungewöhnliche Malware. Nutzt etwa ein Programmierer diese Xcode-Projektdateien für sein Projekt und erstellt mit Xcode eine App, wird im Hintergrund ein ganzes Paket an bösartiger Schadsoftware installiert – auf dem Rechner des Xcode-Nutzers. Die von Trendmicro XCSSET genannte Malware bietet eine ganze Palette an Funktionen: Die Malware kann unter anderem Safari übernehmen, Daten von Apps wie Evernote, Notes, Skype, Telegram, QQ und WeChat stehlen, über einen Server den Rechner durchsuchen, Screenshots erstellen und Daten übertragen. Auf Wunsch kann die Software außerdem Daten verschlüsseln und eine Erpresser-Nachricht anzeigen.
In einem Technical Briefing erläutert Trend Micro die technischen Hintergründe etwas ausführlicher.
Safari wird gekapert
Die Malware beinhaltet gleich zwei bisher nicht bekannte Zero Day Exploits. So kann sie die Cookies von Safari stehlen und auf einen Server hochladen. Das sollte eigentlich gar nicht möglich sein, da diese Daten von der Schutzfunktion SIP geschützt werden. Die Malware nutzt aber eine bisher unbekannte Schwachstelle im Umgang des Systems mit Data Vaults. Zum Einsatz kommt aber noch ein zweiter Exploit: Zusätzlich installiert die Schadsoftware eine neue Version von Safari ohne Sandbox, die anstelle der vorinstallierten Version läuft. (Ein Nutzer muss allerdings über eine Passwortabfrage dieser App den Zugriff erlauben.) Ohne Sandbox-Schutz kann nun per Javascript-Code der Browser komplett übernommen werden. Es wird etwa möglich, die Suchanfragen zu manipulieren, Cryptocurrency-Adressen zu ändern und dem Nutzer alte Versionen von Chrome unterzuschieben, Anmeldedaten wie AppleID zu stehlen und auch Kreditkartendaten zu ändern. Auch das Ändern von Passwörtern ist möglich.
Empfehlungen von Trend Micro
Trend Micro empfiehlt Programmierern deshalb, ihre verwendeten Projekt-Dateien genauer zu überprüfen. Die Malware wird von neueren Antivirenprogrammen erkannt. Über die so genannten Command & Control-Server der Angreifer lassen sich einige hundert Opfer nachweisen, vor allem in China (152) und Indien (103).
Unsere Meinung:
Die Gefahr für Heimanwender ist eher gering, ist für die “Installation” der Malware doch die Nutzung von Xcode nötig. Für Programmierer ist die Malware aber ein Warnsignal, nutzen doch weltweit über 20 Millionen Entwickler bereits Apples Entwicklungsumgebung.
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.