Aktuelles, Branche - geschrieben von cp am Freitag, September 18, 2015 19:20 - noch keine Kommentare
Malware XcodeGhost infiziert iOS-Apps
Erste detaillierte Erkenntnisse zur neu entdeckten OS-X- und iOS-Schadsoftware
[datensicherheit.de, 18.09.2015] Palo Alto Networks gibt erste detaillierte Erkenntnisse zur neu entdeckten OS-X- und iOS-Malware namens XcodeGhost bekannt. Vor 2 Tagen berichteten erstmals chinesische iOS-Entwickler über die neuartige OS-X- und iOS-Malware auf Sina Weibo, dem größten chinesischen Mikroblogging-Dienst. Techniker der Handelsplattform Alibaba veröffentlichten daraufhin einen Analysebericht zu der Malware, die den Namen XcodeGhost erhielt. Mitarbeiter von Palo Alto Networks untersuchte die Malware eingehender, um festzustellen, wie sie sich ausbreitet, welche Techniken sie nutzt und wie sie sich auswirkt.
XcodeGhost ist die erste Compiler Malware in OS X. Ihr Schadcode ist in einer Mach-O-Objektdatei untergebracht, die wiederum in einigen Versionen von Xcode Installer verpackt wurde. Diese bösartigen Installer wurden dann zum Cloud-File-Sharing-Dienst Baidu hochgeladen, der von iOS/OS X-Entwicklern verwendet wird. Xcode ist ein offizielles Tool von Apple für die Entwicklung von iOS- oder OS-X-Anwendungen und es ist offensichtlich, dass einige Entwickler diese Trojanerpakete heruntergeladen haben.
XcodeGhost nutzt die Xcode-Standardsuchpfade für System-Frameworks und hat erfolgreich mehrere iOS-Apps infiziert, die von infizierten Entwicklern erstellt wurden. Mindestens zwei dieser iOS-Apps wurden im App-Store platziert, bestanden Apples Code-Überprüfung und wurden zum öffentlichen Download veröffentlicht. Dies ist bereits die sechste Malware, die es bis in den offiziellen App Store geschafft hat, nach LBTM, InstaStock, FindAndCall, Jekyll und FakeTor.
Die primäre Aktivität von XcodeGhost in infizierten iOS-Apps ist es, Informationen über die Geräte zu sammeln und die Daten zu Command-and-Control-Servern (C2) hochzuladen. Die Malware hat einen sehr interessanten Angriffspunkt erschlossen, indem sie auf Compiler zielt, die verwendet werden, um legitime Apps zu erstellen. Diese Technik kann auch angepasst werden, um Unternehmens-iOS-Apps oder OS-X-Anwendungen auf viel gefährlichere Weise anzugreifen.
In China und an anderen Orten weltweit sind manchmal die Netzwerkgeschwindigkeiten sehr langsam beim Herunterladen von großen Dateien von den Apple-Servern. Da der Standard-Xcode-Installer fast 3 GB groß ist, haben sich einige chinesische Entwickler entschieden, das Paket von anderen Quellen herunterzuladen oder Kopien von Kollegen zu nutzen. Xcode-Download-Links finden sich auf mehreren Foren oder Webseiten (einschließlich Douban, SwiftMi, Cocoachina, OSChina etc.), die von den chinesischen iOS-Entwicklern häufig aufgesucht werden.
Links zum Download aller aktuellen Versionen von Xcode (6.0 bis 7.0, inklusive Beta-Versionen) führen zu Baidu Yunpan, einem Cloud-basierten Dateispeicher- und Sharing-Service. Die Forscher von Palo Alto Networks haben die Xcode Installer heruntergeladen und festgestellt, dass alle Versionen von Xcode zwischen 6.1 und 6.4 angesteckt wurden. Beim Überprüfen der Code-Signatur der Installer wird klar, dass einige zusätzliche Dateien in Xcode hinzugefügt wurden.
Compiler-Malware ist aber keine neue Idee. Beginnend mit dem ersten Proof-of-concept, vor 31 Jahren von Ken Thompson erstellt, ist Compiler Malware bereits in vielen Plattformen entdeckt worden. Im Vergleich zu anderer iOS-Malware ist das Verhalten von XcodeGhost nicht besonders signifikant oder schädlich. Aus diesem Grund konnte der Code die Überprüfung des App Store ungehindert durchlaufen.
Allerdings bietet XcodeGhost eine sehr einfache Möglichkeit, um mit Xcode erstellte Anwendungen mit Trojanern zu versehen. Angreifer können eine OS-X-Malware schreiben, die eine bösartige Objektdatei direkt in das Xcode-Verzeichnis einfügt. Hinzu kommt, dass obwohl Apples Code-Überprüfungen für App-Store-Einreichungen sehr streng sind, einige Anwendungen von Apple gar nicht überprüft werden. Wenn die iOS App von einem Unternehmen intern verwendet wird beispielsweise, wird sie inhouse verteilt werden und nimmt nicht den Weg über den App Store. Ebenso kann eine OS X App infiziert werden und viele davon werden direkt über das Internet vertrieben.
In diesen Situationen kann die Xcode-Compiler-Malware viel aggressiver und riskanter sein. Es ist schwierig für iOS-Benutzer oder -Entwickler sich vor dieser Malware – oder ähnlichen Angriffen – zu schützen, weil sie tief verborgen sind und die Code-Überprüfung für den App Store umgehen. Deshalb sollten Apple-Entwickler Xcode immer direkt von Apple herunterladen und die Integrität ihres installierten Xcode regelmäßig überprüfen, um zu verhindern, dass ihr Xcode durch andere OS-X-Malware modifiziert wurde.
Kooperation
Mitgliedschaft

Schulungsangebot

Partner

Gefragte Themen
- Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen
- BrExit: Europäische Datenschutzbeauftragte diskutierten Folgen
- IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
- Wenn Kollegen zum Sicherheitsrisiko werden
- KMU: Über die Hälfte muss Windows-Version aktualisieren
- KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen
- Upload-Filter: Faires europäisches Urheberrecht wird verspielt
- TU Graz: Internet der Dinge zuverlässiger machen
- Münchner Sicherheitskonferenz: Internet der Dinge als Schwerpunktthema
- Gehackte Daten: Illegaler Online-Handel boomt
- Cyber-Sicherheit: Kontrolle und Verständnis als Erfolgsfaktoren
- Warnung vor gefälschten Banking-Apps
- Überwachungstechnologie: Globale Regulierung gefordert
- Ich fände es ehrlich gesagt erläuterungsbedürftig, wenn die EU Kommission einem ...
- Gerade in Zeiten von Bring your own Device wird die DSGVO-Compliance nochmal zu ...
- Kann mich dem Kommentar nur anschließen. WIe wäre es bei unseren Bundestagsabgeo...
- Es ist schon erstaunlich, wozu Politiker in der Lage sind auf Stimmenfang zu geh...
- ein Gruß aus Leipzig.
Ich wünsche Ihnen einen guten Jahreswechsel und ein gut...
- Danke für den interessanten Beitrag. Wir leben tatsächlich in einer Ära des Soci...
- Der neue Verschlüsselungsvirus beginnt, (nach dem Nachladen), mit der Verschlüss...
- IT-Sicherheit muss weder kompliziert, noch teuer sein. Schon mit einfachen Mitte...
Aktuelles, Branche, Gastbeiträge - Feb 18, 2019 14:45 - noch keine Kommentare
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
weitere Beiträge in Experten
- Wenn Kollegen zum Sicherheitsrisiko werden
- Upload-Filter: Faires europäisches Urheberrecht wird verspielt
- TU Graz: Internet der Dinge zuverlässiger machen
- Cyber-Sicherheit: Kontrolle und Verständnis als Erfolgsfaktoren
- Überwachungstechnologie: Globale Regulierung gefordert
Aktuelles, Branche, Gastbeiträge - Feb 18, 2019 14:45 - noch keine Kommentare
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
weitere Beiträge in Branche
- Wenn Kollegen zum Sicherheitsrisiko werden
- KMU: Über die Hälfte muss Windows-Version aktualisieren
- KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen
- Münchner Sicherheitskonferenz: Internet der Dinge als Schwerpunktthema
- Gehackte Daten: Illegaler Online-Handel boomt
Aktuelles, Branche, Studien, Umfragen - Feb 14, 2019 23:05 - noch keine Kommentare
Sicherheitsgründe: Nutzer meiden bestimmte Online-Dienste
weitere Beiträge in Service
- Thema Datenschutz: Verbraucherreaktion kulturabhängig
- Neue Macht der Verbraucher zwingt Unternehmen zum Handeln
- Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen
- Sichere digitale Infrastrukturen: Mehrheit der Nutzer bevorzugt inländische Datenspeicherung
- Trendbarometer: IT-Sicherheitsbranche erwartet weiterhin Wachstum
Kommentieren