Categories: SicherheitVirus

Dutzende iOS-Apps mit Malware XcodeGhost verseucht

Der Malware XcodeGhost ist es auf trickreiche Weise gelungen, die Prüfungsprozeduren von Apples offiziellem App Store zu umgehen und sich in dort bereitgestellte Anwendungen für iPhones und iPads einzuschmuggeln. Die US-Sicherheitsfirma Palo Alto Networks konnte inzwischen 39 mit der Malware verseuchte iOS-Apps identifizieren – und es könnten noch sehr viel mehr sein.

Während zunächst vor allem chinesische Apps und damit Nutzer in China betroffen schienen, erwiesen sich inzwischen auch eine Reihe von Anwendungen in anderen Ländern als kompromittiert. Zu ihnen gehörten etwa der von Tencent entwickelte Messenger WeChat, der weltweit über rund 500 Millionen Nutzer verfügt (wurde vom Hersteller inzwischen auf die von Malware befreite Version 6.2.6 aktualisiert). XcodeGhost infizierte mit CamCard den beliebtesten Visitenkarten-Scanner in den USA und vielen anderen Ländern. In China platzierte sich die Malware in der App von Didi Kuaidi, dem erfolgreichen Rivalen des Fahrdienstvermittlers Uber.

XcodeGhost kommt aus China

Nach einer ersten Analyse erschien XcodeGhost relativ harmlos und schien lediglich Informationen über die Geräte zu sammeln und sie zu Kommando- und Kontrollservern hochzuladen. Wie Sicherheitsforscher Claud Xiao gegenüber Forbes sagte, kann die Malware jedoch „vom Angreifer aus der Ferne kontrolliert werden, um sie für Phishing-Angriffe zu nutzen oder lokale Schwachstellen in Betriebssystem oder Apps zu nutzen“. XcodeGhost könnte so als Einstiegspunkt für weitere Ausnutzung dienen, was es potenziell gefährlicher mache.

Vor einigen Tagen hatten chinesische iOS-Entwickler erstmals auf dem Mikroblogging-Dienst Sina Weibo von der neuartigen Malware berichtet. Mitarbeiter von Alibaba analysierten sie daraufhin und verliehen ihr die Bezeichnung XcodeGhost. Sicherheitsforscher von Palo Alto Networks sahen sie sich genauer an, um ihre Verbreitung und die dafür ausgenutzten Techniken herauszufinden.

Der Messenger WeChat 6.2.5 erwies sich als eine der infizierten Apps (Screenshot: Palo Alto Networks).

Der Verbreitungsweg von XcodeGhost beginnt nach ihren Erkenntnissen als erste bekannte Compiler-Malware in OS X. Die Schadsoftware ist demnach in einer modifizierten Version von Apples Entwicklungsumgebung Xcode enthalten, die bei einem Filesharing-Dienst des chinesischen Internetkonzerns Baidu bereitgehalten wurde. Nutzten Entwickler diese Version, wurden auch damit geschaffene iOS-Apps mit XcodeGhost infiziert.

Palo Alto Networks erläutert dazu, dass der Standard-Xcode-Installer fast 3 GByte groß ist und der Download von Apples Servern in China und anderen Regionen manchmal sehr langsam sein kann. Deshalb neigten dortige Softwareentwickler dazu, das Paket von anderen Quellen zu beziehen oder Kopien von Kollegen zu nutzen. Download-Links für Xcode fänden sich oft in einschlägigen Entwicklerforen – so konnte die mit Schadcode erweiterte Version offenbar leicht in Umlauf gebracht werden.

Die Sicherheitsforscher weisen darauf hin, dass nicht zum ersten Mal bösartige iOS-Apps in den offiziellen App Store des iPhone-Herstellers gelangt sind. Sie haben eine vollständige Liste der von ihnen und anderen identifizierten 39 verseuchten iOS-Apps zusammengestellt. Die niederländische Sicherheitsfirma Fox-IT trug ergänzend eine weitere Liste mit ebenfalls infizierten iOS-Apps bei.

HIGHLIGHT

iOS 9 – Mit diesen versteckten Funktionen für Unternehmen sollten Sie planen

Für ZDNet.de hat Cortado-Chef Carsten Mickeleit die Unternehmensfunktionen von iOS 9 unter die Lupe genommen. Die neuen Features betreffen unter anderem Per-App-VPN, Enterprise App Stores und Exchange Active Sync v16.
ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

4 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

7 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago