Mutmaßliche Mac-Trojaner zielen auf Kryptowährungen – Ursprung Nordkorea?
Macs erfreuen sich großer Beliebtheit, anscheinend auch zunehmend bei Malware-Entwicklern. Sicherheitsforscher des MDM-Anbieters Jamf sind einer
Serie von sechs Programmen auf der Spur, mit denen Schadcode auf Macs geschmuggelt werden soll. Um einer frühzeitigen Entdeckung zu entgehen, setzen die Apps auf dynamische Bibliotheken, wie sie bei Frameworks wie Flutter zum Einsatz kommen.
Mit dem Google-Framework
Flutter lässt sich Software für mehrere Betriebssysteme zugleich entwickeln: Entwickler schreiben ihre Funktionen in der Programmiersprache Dart, um ihr Projekt anschließend für beispielsweise Windows, macOS und Android auszugeben. Der ursprüngliche Programmcode wird dabei kompiliert und in einer dynamischen Bibliothek (dylib) verpackt. In dieser Form ist es deutlich schwerer, Funktionen automatisiert auf problematische Codesegmente zu analysieren.
Komponenten zum Nachladen zusätzlichen Programmcodes verbergen sich in einem vorkompilierten dynamischen Bibliothek. (Quelle:
Jamf Threat Labs)
Programmcode wird nachgeladenEine Mac-App mit dem Titel „New Updates in Crypto Exchange“ etwa bestand weitestgehend aus einem in Flutter umgesetzten Minesweeper-Klon, welcher quelloffen im Netz bereitsteht. Beim ersten Start versucht das Programm, Kontakt zu Servern aufzunehmen, welche in der Vergangenheit häufig von Kriminellen nordkoreanischen Ursprungs genutzt wurden. Anscheinend versucht die App, weitere Instruktionen herunterzuladen. Dieser Server ist mittlerweile offline – bei einem Laborversuch konnten Jamf-Sicherheitsforscher in einer kontrollierten Netzwerkumgebung die Anfrage auf eigene Rechner umbiegen. Darüber angebotener AppleScript-Code wurde von der Flutter-App ausgeführt.
Varianten in Go und PythonNeben der Flutter-Version existieren weitere Software-Projekte ähnlichen Aufbaus, die mit anderen Frameworks umgesetzt wurden: Ein in Golang verfasstes Programm namens „New Era for Stablecoins and DeFi, CeFi (Protected).app“ sowie eine in Python geschriebene und mit Py2App kompilierte Variante mit dem Titel „Runner.app“. Einige der in der Schadsoftwaredatenbank „VirusTotal“ entdeckten Apps waren mit einem Entwickler-Zertifikat signiert. Eine aktuelle Gefahr scheint – zumindest von beobachteten Varianten – nicht auszugehen: Kontaktierte Server sind offline, Zertifikate mittlerweile ungültig. Eventuell waren dies auch nur Testversionen, mit denen böswillige Hacker mit verschiedenen Mechanismen experimentierten, um einer frühzeitigen Entdeckung zu entgehen.