Aktuelles, Branche - geschrieben von cp am Freitag, September 18, 2015 19:20 - noch keine Kommentare
Malware XcodeGhost infiziert iOS-Apps
Erste detaillierte Erkenntnisse zur neu entdeckten OS-X- und iOS-Schadsoftware
[datensicherheit.de, 18.09.2015] Palo Alto Networks gibt erste detaillierte Erkenntnisse zur neu entdeckten OS-X- und iOS-Malware namens XcodeGhost bekannt. Vor 2 Tagen berichteten erstmals chinesische iOS-Entwickler über die neuartige OS-X- und iOS-Malware auf Sina Weibo, dem größten chinesischen Mikroblogging-Dienst. Techniker der Handelsplattform Alibaba veröffentlichten daraufhin einen Analysebericht zu der Malware, die den Namen XcodeGhost erhielt. Mitarbeiter von Palo Alto Networks untersuchte die Malware eingehender, um festzustellen, wie sie sich ausbreitet, welche Techniken sie nutzt und wie sie sich auswirkt.
XcodeGhost ist die erste Compiler Malware in OS X. Ihr Schadcode ist in einer Mach-O-Objektdatei untergebracht, die wiederum in einigen Versionen von Xcode Installer verpackt wurde. Diese bösartigen Installer wurden dann zum Cloud-File-Sharing-Dienst Baidu hochgeladen, der von iOS/OS X-Entwicklern verwendet wird. Xcode ist ein offizielles Tool von Apple für die Entwicklung von iOS- oder OS-X-Anwendungen und es ist offensichtlich, dass einige Entwickler diese Trojanerpakete heruntergeladen haben.
XcodeGhost nutzt die Xcode-Standardsuchpfade für System-Frameworks und hat erfolgreich mehrere iOS-Apps infiziert, die von infizierten Entwicklern erstellt wurden. Mindestens zwei dieser iOS-Apps wurden im App-Store platziert, bestanden Apples Code-Überprüfung und wurden zum öffentlichen Download veröffentlicht. Dies ist bereits die sechste Malware, die es bis in den offiziellen App Store geschafft hat, nach LBTM, InstaStock, FindAndCall, Jekyll und FakeTor.
Die primäre Aktivität von XcodeGhost in infizierten iOS-Apps ist es, Informationen über die Geräte zu sammeln und die Daten zu Command-and-Control-Servern (C2) hochzuladen. Die Malware hat einen sehr interessanten Angriffspunkt erschlossen, indem sie auf Compiler zielt, die verwendet werden, um legitime Apps zu erstellen. Diese Technik kann auch angepasst werden, um Unternehmens-iOS-Apps oder OS-X-Anwendungen auf viel gefährlichere Weise anzugreifen.
In China und an anderen Orten weltweit sind manchmal die Netzwerkgeschwindigkeiten sehr langsam beim Herunterladen von großen Dateien von den Apple-Servern. Da der Standard-Xcode-Installer fast 3 GB groß ist, haben sich einige chinesische Entwickler entschieden, das Paket von anderen Quellen herunterzuladen oder Kopien von Kollegen zu nutzen. Xcode-Download-Links finden sich auf mehreren Foren oder Webseiten (einschließlich Douban, SwiftMi, Cocoachina, OSChina etc.), die von den chinesischen iOS-Entwicklern häufig aufgesucht werden.
Links zum Download aller aktuellen Versionen von Xcode (6.0 bis 7.0, inklusive Beta-Versionen) führen zu Baidu Yunpan, einem Cloud-basierten Dateispeicher- und Sharing-Service. Die Forscher von Palo Alto Networks haben die Xcode Installer heruntergeladen und festgestellt, dass alle Versionen von Xcode zwischen 6.1 und 6.4 angesteckt wurden. Beim Überprüfen der Code-Signatur der Installer wird klar, dass einige zusätzliche Dateien in Xcode hinzugefügt wurden.
Compiler-Malware ist aber keine neue Idee. Beginnend mit dem ersten Proof-of-concept, vor 31 Jahren von Ken Thompson erstellt, ist Compiler Malware bereits in vielen Plattformen entdeckt worden. Im Vergleich zu anderer iOS-Malware ist das Verhalten von XcodeGhost nicht besonders signifikant oder schädlich. Aus diesem Grund konnte der Code die Überprüfung des App Store ungehindert durchlaufen.
Allerdings bietet XcodeGhost eine sehr einfache Möglichkeit, um mit Xcode erstellte Anwendungen mit Trojanern zu versehen. Angreifer können eine OS-X-Malware schreiben, die eine bösartige Objektdatei direkt in das Xcode-Verzeichnis einfügt. Hinzu kommt, dass obwohl Apples Code-Überprüfungen für App-Store-Einreichungen sehr streng sind, einige Anwendungen von Apple gar nicht überprüft werden. Wenn die iOS App von einem Unternehmen intern verwendet wird beispielsweise, wird sie inhouse verteilt werden und nimmt nicht den Weg über den App Store. Ebenso kann eine OS X App infiziert werden und viele davon werden direkt über das Internet vertrieben.
In diesen Situationen kann die Xcode-Compiler-Malware viel aggressiver und riskanter sein. Es ist schwierig für iOS-Benutzer oder -Entwickler sich vor dieser Malware – oder ähnlichen Angriffen – zu schützen, weil sie tief verborgen sind und die Code-Überprüfung für den App Store umgehen. Deshalb sollten Apple-Entwickler Xcode immer direkt von Apple herunterladen und die Integrität ihres installierten Xcode regelmäßig überprüfen, um zu verhindern, dass ihr Xcode durch andere OS-X-Malware modifiziert wurde.
Aktuelles, Experten - Juli 6, 2025 0:36 - noch keine Kommentare
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert
weitere Beiträge in Experten
- NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter
- Quantentechnologie: EU strebt Vorreiterrolle an
- Wahrnehmung von Außengeräuschen: Fraunhofer-Institut schickte The Hearing Car auf Erprobungsfahrt
- Rheinland-Pfalz: LfDI bietet Lehrkräften Unterrichtsmaterialien zu KI und Datenschutz an
- eco-Einladung: Digital-Werkstatt und Wahl/Digital 25 am 9. Juli 2025 in Berlin
Aktuelles, Branche - Juli 5, 2025 0:42 - noch keine Kommentare
112. Tour de France: Was Echtzeitdaten im Hintergrund leisten
weitere Beiträge in Branche
- Intensive KI-Nutzung in Unternehmen – Entwicklung von Richtlinien und Governance fällt zurück
- Kombination Datenschleuse mit Data Loss Prevention zur Eindämmung der Bedrohung durch externe Speichermedien
- TÜV-Verband-Studie: 79 Prozent der Unternehmen speichern Daten ausschließlich in der EU
- Datenqualität in KI-Systemen: BSI stellt methodischen Leitfaden vor
- Unternehmen: Horizon3.ai-Cybersicherheitsreport 2025 zeigt weitere Zunahme von Angriffen
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren