Mac-Malware: Xcode-Trojaner schmuggelt sich in Apps

Apple unternimmt bekanntlich erhebliche Anstrengungen, um Macs, iPhones und iPads vor Schadsoftware zu bewahren. Apps für die Notebooks und Desktops aus Cupertino müssen beispielsweise seit einiger Zeit mit Entwicklerzertifikaten signiert und vom kalifornischen Unternehmen beglaubigt sein, um auf den Geräten ausgeführt werden zu können. Dennoch gelingt es Angreifern immer wieder, auf verschiedenen Wegen Malware in die Systeme einzuschleusen.


Xcode dient als Angriffsvektor
Jüngstes Beispiel ist eine Schadsoftware, welche vor allem App-Entwickler zum Ziel hat. Als Angriffsvektor dient Xcode, wie Sicherheitsforscher des Unternehmens SentinelLabs herausgefunden haben. Die Hacker bedienen sich der Scripting-Fähigkeiten von Apples integrierter Entwicklungsumgebung. Beobachtungen der Experten zufolge wird die Malware bereits seit einiger Zeit aktiv eingesetzt.

Manipulierte Variante eines Open-Source-Tools
Die von SentinelLabs auf den Namen "XcodeSpy" getaufte Schadsoftware versteckt sich in einer manipulierten Version des quelloffenen Projekts TabBadInteraction, welches auf GitHub zu finden ist. Das Original stellt Entwicklern, welche iOS-Apps entwerfen, nützliche Funktionen für die Animation der Menüleisten auf iPhones und iPads zur Verfügung. Die Malware wurde um eine Routine erweitert, die ein im Code verstecktes und getarntes Skript aufruft, wenn der Entwickler sein Projekt in Xcode ausführt. Die Schadsoftware nimmt dann Kontakt zu einem Server auf, dessen URL verschlüsselt im Code enthalten ist. Anschließend lädt sie eine Variante der als "EggShell" bekannten Backdoor herunter und installiert sie auf dem Mac.

Hackern stehen auf befallenen Macs fast alle Tore offen
Wenn der Trojaner auf diese Art und Weise auf das Entwickler-System gelangt ist, stehen den Angreifern nahezu alle Tore offen. Die Hacker können mithilfe von "EggShell" unter anderem Dateien abgreifen, Tastenanschläge aufzeichnen sowie auf Kamera und Mikrofon des Mac zugreifen. Das Nachladen weiterer Schadsoftware ist ebenfalls möglich. Da XCodeSpy seine Aktivitäten erfolgreich verschleiert, bemerkt der Nutzer von alledem nichts.

Entwickler sollten äußerste Vorsicht walten lassen
SentinelLabs zufolge fiel in den vergangenen Monaten mindestens ein US-amerikanisches Unternehmen den Hackern zum Opfer. Es gilt aber als äußerst wahrscheinlich, dass etliche weitere Systeme von XcodeSpy befallen waren oder nach wie vor sind. App-Entwickler sollten daher beim Einsatz von Drittanbieter-Tools äußerste Vorsicht walten lassen und vor allem in diesen enthaltene Skripte genau überprüfen. Wie sich XcodeSpy und ähnlich aufgebaute Malware aufspüren lässt, erläutern die Sicherheitsforscher in einem Blog-Beitrag auf den Internetseiten von SentinelLabs.

Kommentare

Saguhl19.03.21 08:42
Gibt es Gegenmassnahmen?
-1
LoCal
LoCal19.03.21 08:55
Saguhl
Gibt es Gegenmassnahmen?

Die stehen im oben verlinkten Blog-Artikel!
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+1
MikeMuc19.03.21 08:59
Sollte nicht bei der Aktivierung der Kamera eine LED leuchten? Wird das hier erfolgreich verhindert? Soll doch angeblich nicht möglich sein.
Wäre echt gut, wenn es so eine Statusled auch für das Mikrofon geben würde.
+5
LoCal
LoCal19.03.21 09:05
Entwickler:innen sollten sich immer bewusst was sie tun und was sie einbinden.
Und in diesem Zusammenhang erwähne ich dann auch immer gerne Tools wie Cocoapods, denn da verliert man fast grundsätzlich die Kontrolle darüber, was man ins eigene Projekt einbindet … und der Blick über den Tellerrand zeigt dann auch, was alles möglich ist.


Ausserdem sollte man immer den Ken Thompson Hack im Hinterkopf haben. Und falls nun jemand kommt und sagt, dass das im Apple Universum nicht passieren kann: Falsch
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
Troubadixderdritte19.03.21 09:28
Schaut mal auf objective-see.com. Diese Tools fangen den Dieb 🧐
0
ExMacRabbitPro19.03.21 11:06
LoCal
Ausserdem sollte man immer den Ken Thompson Hack im Hinterkopf haben. Und falls nun jemand kommt und sagt, dass das im Apple Universum nicht passieren kann: Falsch

Stimmt! Aber soweit muss man gar nicht gehen. Es genügt die simple Regel im Kopf zu haben:

Jedes System, das an ein Netzwerk angeschlossen ist, ist angreifbar. Ende.
+2
iBert19.03.21 19:28
MTN
Die von SentinelLabs auf den Namen "XcodeSpy" getaufte Schadsoftware versteckt sich in einer manipulierten Version des quelloffenen Projekts TabBadInteraction, welches auf GitHub zu finden ist.
Kann mich mal jemand erhellen?
Wie ist es denn gelungen den manipulierten Code in einem quelloffenen Programm auf GitHub unbemerkt einzuschleusen? Sollte doch eigentlich gar nicht möglich sein, ohne das es jmd bemerkt? Der Code ist schließlich einsehbar.
Objektiv ist relativ, subjektiv gesehen.
0
LoCal
LoCal19.03.21 21:14
iBert
MTN
Die von SentinelLabs auf den Namen "XcodeSpy" getaufte Schadsoftware versteckt sich in einer manipulierten Version des quelloffenen Projekts TabBadInteraction, welches auf GitHub zu finden ist.
Kann mich mal jemand erhellen?
Wie ist es denn gelungen den manipulierten Code in einem quelloffenen Programm auf GitHub unbemerkt einzuschleusen? Sollte doch eigentlich gar nicht möglich sein, ohne das es jmd bemerkt? Der Code ist schließlich einsehbar.

Weil sehr viele genau diese Haltung haben: OpenSource, das muss sicher sein. Und dann schaut sich halt niemand den Code mehr an.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.