Mac-Malware: Xcode-Trojaner schmuggelt sich in Apps
Apple unternimmt bekanntlich erhebliche Anstrengungen, um Macs, iPhones und iPads vor Schadsoftware zu bewahren. Apps für die Notebooks und Desktops aus Cupertino müssen beispielsweise seit einiger Zeit mit Entwicklerzertifikaten signiert und vom kalifornischen Unternehmen beglaubigt sein, um auf den Geräten ausgeführt werden zu können. Dennoch gelingt es Angreifern immer wieder, auf verschiedenen Wegen Malware in die Systeme einzuschleusen.
Xcode dient als AngriffsvektorJüngstes Beispiel ist eine Schadsoftware, welche vor allem App-Entwickler zum Ziel hat. Als Angriffsvektor dient Xcode, wie Sicherheitsforscher des Unternehmens SentinelLabs herausgefunden haben. Die Hacker bedienen sich der Scripting-Fähigkeiten von Apples integrierter Entwicklungsumgebung. Beobachtungen der Experten zufolge wird die Malware bereits seit einiger Zeit aktiv eingesetzt.
Manipulierte Variante eines Open-Source-ToolsDie von SentinelLabs auf den Namen "XcodeSpy" getaufte Schadsoftware versteckt sich in einer manipulierten Version des quelloffenen Projekts TabBadInteraction, welches auf GitHub zu finden ist. Das Original stellt Entwicklern, welche iOS-Apps entwerfen, nützliche Funktionen für die Animation der Menüleisten auf iPhones und iPads zur Verfügung. Die Malware wurde um eine Routine erweitert, die ein im Code verstecktes und getarntes Skript aufruft, wenn der Entwickler sein Projekt in Xcode ausführt. Die Schadsoftware nimmt dann Kontakt zu einem Server auf, dessen URL verschlüsselt im Code enthalten ist. Anschließend lädt sie eine Variante der als "EggShell" bekannten Backdoor herunter und installiert sie auf dem Mac.
Hackern stehen auf befallenen Macs fast alle Tore offenWenn der Trojaner auf diese Art und Weise auf das Entwickler-System gelangt ist, stehen den Angreifern nahezu alle Tore offen. Die Hacker können mithilfe von "EggShell" unter anderem Dateien abgreifen, Tastenanschläge aufzeichnen sowie auf Kamera und Mikrofon des Mac zugreifen. Das Nachladen weiterer Schadsoftware ist ebenfalls möglich. Da XCodeSpy seine Aktivitäten erfolgreich verschleiert, bemerkt der Nutzer von alledem nichts.
Entwickler sollten äußerste Vorsicht walten lassenSentinelLabs zufolge fiel in den vergangenen Monaten mindestens ein US-amerikanisches Unternehmen den Hackern zum Opfer. Es gilt aber als äußerst wahrscheinlich, dass etliche weitere Systeme von XcodeSpy befallen waren oder nach wie vor sind. App-Entwickler sollten daher beim Einsatz von Drittanbieter-Tools äußerste Vorsicht walten lassen und vor allem in diesen enthaltene Skripte genau überprüfen. Wie sich XcodeSpy und ähnlich aufgebaute Malware aufspüren lässt, erläutern die Sicherheitsforscher in einem
Blog-Beitrag auf den Internetseiten von SentinelLabs.