Malware XcodeGhost infiziert iOS-Apps

Erste detaillierte Erkenntnisse zur neu entdeckten OS-X- und iOS-Schadsoftware

[datensicherheit.de, 18.09.2015] Palo Alto Networks gibt erste detaillierte Erkenntnisse zur neu entdeckten OS-X- und iOS-Malware namens XcodeGhost bekannt. Vor 2 Tagen berichteten erstmals chinesische iOS-Entwickler über die neuartige OS-X- und iOS-Malware auf Sina Weibo, dem größten chinesischen Mikroblogging-Dienst. Techniker der Handelsplattform Alibaba veröffentlichten daraufhin einen Analysebericht zu der Malware, die den Namen XcodeGhost erhielt. Mitarbeiter von Palo Alto Networks untersuchte die Malware eingehender, um festzustellen, wie sie sich ausbreitet, welche Techniken sie nutzt und wie sie sich auswirkt.

XcodeGhost ist die erste Compiler Malware in OS X. Ihr Schadcode ist in einer Mach-O-Objektdatei untergebracht, die wiederum in einigen Versionen von Xcode Installer verpackt wurde. Diese bösartigen Installer wurden dann zum Cloud-File-Sharing-Dienst Baidu hochgeladen, der von iOS/OS X-Entwicklern verwendet wird. Xcode ist ein offizielles Tool von Apple für die Entwicklung von iOS- oder OS-X-Anwendungen und es ist offensichtlich, dass einige Entwickler diese Trojanerpakete heruntergeladen haben.

XcodeGhost nutzt die Xcode-Standardsuchpfade für System-Frameworks und hat erfolgreich mehrere iOS-Apps infiziert, die von infizierten Entwicklern erstellt wurden. Mindestens zwei dieser iOS-Apps wurden im App-Store platziert, bestanden Apples Code-Überprüfung und wurden zum öffentlichen Download veröffentlicht. Dies ist bereits die sechste Malware, die es bis in den offiziellen App Store geschafft hat, nach LBTM, InstaStock, FindAndCall, Jekyll und FakeTor.

Die primäre Aktivität von XcodeGhost in infizierten iOS-Apps ist es, Informationen über die Geräte zu sammeln und die Daten zu Command-and-Control-Servern (C2) hochzuladen. Die Malware hat einen sehr interessanten Angriffspunkt erschlossen, indem sie auf Compiler zielt, die verwendet werden, um legitime Apps zu erstellen. Diese Technik kann auch angepasst werden, um Unternehmens-iOS-Apps oder OS-X-Anwendungen auf viel gefährlichere Weise anzugreifen.

In China und an anderen Orten weltweit sind manchmal die Netzwerkgeschwindigkeiten sehr langsam beim Herunterladen von großen Dateien von den Apple-Servern. Da der Standard-Xcode-Installer fast 3 GB groß ist, haben sich einige chinesische Entwickler entschieden, das Paket von anderen Quellen herunterzuladen oder Kopien von Kollegen zu nutzen. Xcode-Download-Links finden sich auf mehreren Foren oder Webseiten (einschließlich Douban, SwiftMi, Cocoachina, OSChina etc.), die von den chinesischen iOS-Entwicklern häufig aufgesucht werden.

Links zum Download aller aktuellen Versionen von Xcode (6.0 bis 7.0, inklusive Beta-Versionen) führen zu Baidu Yunpan, einem Cloud-basierten Dateispeicher- und Sharing-Service. Die Forscher von Palo Alto Networks haben die Xcode Installer heruntergeladen und festgestellt, dass alle Versionen von Xcode zwischen 6.1 und 6.4 angesteckt wurden. Beim Überprüfen der Code-Signatur der Installer wird klar, dass einige zusätzliche Dateien in Xcode hinzugefügt wurden.

Compiler-Malware ist aber keine neue Idee. Beginnend mit dem ersten Proof-of-concept, vor 31 Jahren von Ken Thompson erstellt, ist Compiler Malware bereits in vielen Plattformen entdeckt worden. Im Vergleich zu anderer iOS-Malware ist das Verhalten von XcodeGhost nicht besonders signifikant oder schädlich. Aus diesem Grund konnte der Code die Überprüfung des App Store ungehindert durchlaufen.

Allerdings bietet XcodeGhost eine sehr einfache Möglichkeit, um mit Xcode erstellte Anwendungen mit Trojanern zu versehen. Angreifer können eine OS-X-Malware schreiben, die eine bösartige Objektdatei direkt in das Xcode-Verzeichnis einfügt. Hinzu kommt, dass obwohl Apples Code-Überprüfungen für App-Store-Einreichungen sehr streng sind, einige Anwendungen von Apple gar nicht überprüft werden. Wenn die iOS App von einem Unternehmen intern verwendet wird beispielsweise, wird sie inhouse verteilt werden und nimmt nicht den Weg über den App Store. Ebenso kann eine OS X App infiziert werden und viele davon werden direkt über das Internet vertrieben.

In diesen Situationen kann die Xcode-Compiler-Malware viel aggressiver und riskanter sein. Es ist schwierig für iOS-Benutzer oder -Entwickler sich vor dieser Malware – oder ähnlichen Angriffen – zu schützen, weil sie tief verborgen sind und die Code-Überprüfung für den App Store umgehen. Deshalb sollten Apple-Entwickler Xcode immer direkt von Apple herunterladen und die Integrität ihres installierten Xcode regelmäßig überprüfen, um zu verhindern, dass ihr Xcode durch andere OS-X-Malware modifiziert wurde.