Dutzende iOS-Apps mit Malware XcodeGhost verseucht

Der Malware XcodeGhost ist es auf trickreiche Weise gelungen, die Prüfungsprozeduren von Apples offiziellem App Store zu umgehen und sich in dort bereitgestellte Anwendungen für iPhones und iPads einzuschmuggeln. Die US-Sicherheitsfirma Palo Alto Networks konnte inzwischen 39 mit der Malware verseuchte iOS-Apps identifizieren – und es könnten noch sehr viel mehr sein.

Während zunächst vor allem chinesische Apps und damit Nutzer in China betroffen schienen, erwiesen sich inzwischen auch eine Reihe von Anwendungen in anderen Ländern als kompromittiert. Zu ihnen gehörten etwa der von Tencent entwickelte Messenger WeChat, der weltweit über rund 500 Millionen Nutzer verfügt (wurde vom Hersteller inzwischen auf die von Malware befreite Version 6.2.6 aktualisiert). XcodeGhost infizierte mit CamCard den beliebtesten Visitenkarten-Scanner in den USA und vielen anderen Ländern. In China platzierte sich die Malware in der App von Didi Kuaidi, dem erfolgreichen Rivalen des Fahrdienstvermittlers Uber.

XcodeGhost kommt aus China

Nach einer ersten Analyse erschien XcodeGhost relativ harmlos und schien lediglich Informationen über die Geräte zu sammeln und sie zu Kommando- und Kontrollservern hochzuladen. Wie Sicherheitsforscher Claud Xiao gegenüber Forbes sagte, kann die Malware jedoch „vom Angreifer aus der Ferne kontrolliert werden, um sie für Phishing-Angriffe zu nutzen oder lokale Schwachstellen in Betriebssystem oder Apps zu nutzen“. XcodeGhost könnte so als Einstiegspunkt für weitere Ausnutzung dienen, was es potenziell gefährlicher mache.

Vor einigen Tagen hatten chinesische iOS-Entwickler erstmals auf dem Mikroblogging-Dienst Sina Weibo von der neuartigen Malware berichtet. Mitarbeiter von Alibaba analysierten sie daraufhin und verliehen ihr die Bezeichnung XcodeGhost. Sicherheitsforscher von Palo Alto Networks sahen sie sich genauer an, um ihre Verbreitung und die dafür ausgenutzten Techniken herauszufinden.

Der Messenger WeChat 6.2.5 erwies sich als eine der infizierten Apps (Screenshot: Palo Alto Networks).

Der Verbreitungsweg von XcodeGhost beginnt nach ihren Erkenntnissen als erste bekannte Compiler-Malware in OS X. Die Schadsoftware ist demnach in einer modifizierten Version von Apples Entwicklungsumgebung Xcode enthalten, die bei einem Filesharing-Dienst des chinesischen Internetkonzerns Baidu bereitgehalten wurde. Nutzten Entwickler diese Version, wurden auch damit geschaffene iOS-Apps mit XcodeGhost infiziert.

Palo Alto Networks erläutert dazu, dass der Standard-Xcode-Installer fast 3 GByte groß ist und der Download von Apples Servern in China und anderen Regionen manchmal sehr langsam sein kann. Deshalb neigten dortige Softwareentwickler dazu, das Paket von anderen Quellen zu beziehen oder Kopien von Kollegen zu nutzen. Download-Links für Xcode fänden sich oft in einschlägigen Entwicklerforen – so konnte die mit Schadcode erweiterte Version offenbar leicht in Umlauf gebracht werden.

Die Sicherheitsforscher weisen darauf hin, dass nicht zum ersten Mal bösartige iOS-Apps in den offiziellen App Store des iPhone-Herstellers gelangt sind. Sie haben eine vollständige Liste der von ihnen und anderen identifizierten 39 verseuchten iOS-Apps zusammengestellt. Die niederländische Sicherheitsfirma Fox-IT trug ergänzend eine weitere Liste mit ebenfalls infizierten iOS-Apps bei.