Neue OS-X- und iOS-Malware
Infizierte iOS-Apps im App-Store
Palo Alto Networks gibt erste detaillierte Erkenntnisse zur neu entdeckten OS-X- und iOS-Malware namens "XcodeGhost" bekannt. IT-Sicherheitsexperten untersuchte die Malware eingehender, um festzustellen, wie sie sich ausbreitet, welche Techniken sie nutzt und wie sie sich auswirkt.
Vor 2 Tagen berichteten erstmals chinesische iOS-Entwickler über die neuartige OS-X- und iOS-Malware auf "Sina Weibo", dem größten chinesischen Mikroblogging-Dienst. Techniker der Handelsplattform "Alibaba" veröffentlichten daraufhin einen Analysebericht zu der Malware, die den Namen "XcodeGhost" erhielt
"XcodeGhost" ist die erste Compiler-Malware in OS-X. Ihr Schadcode ist in einer Mach-O-Objektdatei untergebracht, die wiederum in einigen Versionen von Xcode Installer verpackt wurde. Diese bösartigen Installer wurden dann zum Cloud-File-Sharing-Dienst "Baidu" hochgeladen, der von iOS/OS X-Entwicklern verwendet wird. "Xcode" ist ein offizielles Tool von Apple für die Entwicklung von iOS- oder OS-X-Anwendungen und es ist offensichtlich, dass einige Entwickler diese Trojanerpakete heruntergeladen haben.
"XcodeGhost" nutzt die "Xcode"-Standardsuchpfade für System-Frameworks und hat erfolgreich mehrere iOS-Apps infiziert, die von infizierten Entwicklern erstellt wurden. Mindestens zwei dieser iOS-Apps wurden im App-Store platziert, bestanden Apples Code-Überprüfung und wurden zum öffentlichen Download veröffentlicht. Dies ist bereits die sechste Malware, die es bis in den offiziellen App-Store geschafft hat, nach "LBTM", "InstaStock", "FindAndCall", "Jekyll" und "FakeTor".
Die primäre Aktivität von "XcodeGhost" in infizierten iOS-Apps ist es, Informationen über die Geräte zu sammeln und die Daten zu Command-and-Control-Servern (C2) hochzuladen. Die Malware hat einen sehr interessanten Angriffspunkt erschlossen, indem sie auf Compiler zielt, die verwendet werden, um legitime Apps zu erstellen. Diese Technik kann auch angepasst werden, um Unternehmens-iOS-Apps oder OS-X-Anwendungen auf viel gefährlichere Weise anzugreifen.
In China und an anderen Orten weltweit sind manchmal die Netzwerkgeschwindigkeiten sehr langsam beim Herunterladen von großen Dateien von den Apple-Servern. Da der Standard "Xcode"-Installer fast 3 GB groß ist, haben sich einige chinesische Entwickler entschieden, das Paket von anderen Quellen herunterzuladen oder Kopien von Kollegen zu nutzen. "Xcode"-Download-Links finden sich auf mehreren Foren oder Webseiten (einschließlich "Douban", "SwiftMi", "Cocoachina", "OSChina" etc.), die von den chinesischen iOS-Entwicklern häufig aufgesucht werden.
Links zum Download aller aktuellen Versionen von "Xcode" (6.0 bis 7.0, inklusive Beta-Versionen) führen zu "Baidu Yunpan", einem Cloud-basierten Dateispeicher- und Sharing-Service. Die Forscher von Palo Alto Networks haben die "Xcode"-Installer heruntergeladen und festgestellt, dass alle Versionen von "Xcode" zwischen 6.1 und 6.4 angesteckt wurden. Beim Überprüfen der Code-Signatur der Installer wird klar, dass einige zusätzliche Dateien in Xcode hinzugefügt wurden.
Compiler-Malware ist aber keine neue Idee. Beginnend mit dem ersten Proof-of-Concept, vor 31 Jahren von Ken Thompson erstellt, ist Compiler-Malware bereits in vielen Plattformen entdeckt worden. Im Vergleich zu anderer iOS-Malware ist das Verhalten von "XcodeGhost" nicht besonders signifikant oder schädlich. Aus diesem Grund konnte der Code die Überprüfung des App-Store ungehindert durchlaufen.
Allerdings bietet "XcodeGhost" eine sehr einfache Möglichkeit, um mit Xcode erstellte Anwendungen mit Trojanern zu versehen. Angreifer können eine OS-X-Malware schreiben, die eine bösartige Objektdatei direkt in das Xcode-Verzeichnis einfügt. Hinzu kommt, dass obwohl Apples Code-Überprüfungen für App-Store-Einreichungen sehr streng sind, einige Anwendungen von Apple gar nicht überprüft werden. Wenn die iOS-App von einem Unternehmen intern verwendet wird beispielsweise, wird sie inhouse verteilt werden und nimmt nicht den Weg über den App-Store. Ebenso kann eine OS-X-App infiziert werden und viele davon werden direkt über das Internet vertrieben.
In diesen Situationen kann die "Xcode"-Compiler-Malware viel aggressiver und riskanter sein. Es ist schwierig für iOS-Benutzer oder -Entwickler sich vor dieser Malware – oder ähnlichen Angriffen – zu schützen, weil sie tief verborgen sind und die Code-Überprüfung für den App Store umgehen. Deshalb sollten Apple-Entwickler "Xcode" immer direkt von Apple herunterladen und die Integrität ihres installierten "Xcode" regelmäßig überprüfen, um zu verhindern, dass ihr "Xcode" durch andere OS-X-Malware modifiziert wurde.
Lesen Sie mehr zum Thema
