Seit Sommer 2024 ist macOS um eine kriminelle Bedrohung reicher. Der unter dem Namen „Banshee“ bekannt gewordene Trojaner sammelt Nutzer- und Browserdaten aus Firefox, Chrome, Vivaldi, Opera (Safari wird explizit nicht erwähnt). Besonders abgesehen hat es Banshee auf Kryptowährungen – Banshee spürt Browser-Plug-ins weitverbreiteter Wallets wie Atomic, Ledger oder Coinomi auf und sendet deren Daten an einen Command-&-Control-Server. Dies gelingt der „Malware as a service“ sowohl unter Windows als auch unter macOS. Im September 2024 gewann der Trojaner eine Fähigkeit dazu, die seine Entdeckung erschwerte: Laut Checkpoint Research nutzt die neue Banshee-Version eine Verschlüsselung, welche macOS für die eigene Malware-Datenbank XProtect verwendet.


Auf diese Weise blieb Banshee zwei Monate lang unentdeckt; Antivirus-Software mehrerer Hersteller erkannte verschlüsselte Versionen über einen langen Zeitraum nicht. Stattdessen wurde dem Entwicklungs-Team hinter dem Trojaner die eigene laxe Datensicherheit zum Verhängnis: Am 23. November 2024 veröffentliche ein anonymer Whistleblower den Quellcode. Erst im Anschluss integrierten Antivirus-Hersteller aktualisierte Signaturen, mit denen fortan auch neuere, verschlüsselte Banshee-Installationen entdeckt werden.

Download auf GitHub
Damit ist die Gefahr, welche von der Malware ausgeht, längst nicht gebannt. Offenbar befinden sich auf verschiedensten Plattformen weiterhin Software-Downloads, die Banshee-Code enthalten. Checkpoint Research stieß auf Seiten, über die sich scheinbar gecrackte Versionen beliebter kommerzieller Software-Titel herunterladen ließen. Viele davon befanden sich auf der Code-Plattform GitHub. Banshee profitiert hier von einer institutionellen Ignoranz gegenüber der Mac-Plattform: Während Windows-Versionen derselben Software sich nur in verschlüsselten Archiven auf GitHub parken lässt, erscheinen Mac-Trojaner als unschuldige Installations-Images. Es scheint fast so, als ignorierten die hauseigenen Malware-Scanner von GitHub alles, was nicht für den GitHub-Mutterkonzern Microsoft gefährlich werden könnte.

Trojaner russischer Herkunft?
Code-Analyse sowie Beobachtungen aus dem Cybercrime-Forum XSS geben Einblicke in die Historie der Malware-Entwicklung. Um einer Analyse zu entgehen, stellt Banshee die Funktion ein, wenn sie erkennt, dass sie in einer virtuellen Umgebung aktiviert wurde. Verwendet ein infizierter Mac zudem Russisch als Standardsprache, läuft der Trojaner ebenfalls nicht. Zugriff auf Banshee-Fähigkeiten bekam man für 3.000 Dollar pro Monat. Inklusive waren sowohl aktuelle Versionen des Trojaners als auch Zugriff auf das „Backend“ – ein Webserver, in dem die gesammelten Daten aufliefen. Wie die Kundschaft ihren Opfern die Malware schmackhaft macht, war diesen überlassen. In den Wochen vor dem Code-Leak versuchten die Entwickler, das gesamte Projekt möglichst schnell als Ganzes zu verkaufen. Offenbar war ihnen bewusst, dass eine Veröffentlichung bevorstand. Am Tag nach der Veröffentlichung ging das Backend offline. Trotzdem ist die Gefahr nicht gebannt: Durch die Veröffentlichung des Quellcodes haben nun umso mehr Kriminelle das Rüstzeug, um fortgeschrittene Varianten zu entwickeln.