XcodeGhost: FireEye will über 4000 infizierte iOS-Apps entdeckt haben

Die Zahl der mit der Malware XcodeGhost verseuchten iOS-Apps ist offenbar deutlich größer als zunächst angenommen. War ursprünglich von rund 40 Anwendungen die Rede, will der Sicherheitsanbieter FireEye inzwischen über 4000 betroffene Programme in Apples App Store identifiziert haben.

Die mit einer modifizierten Version von Apples Entwicklungsumgebung Xcode erstellten Schadprogramme können Geräte- und Nutzerinformationen auslesen und sie an einen Command-and-Control-Server (CnC) senden, wie FireEye in einem Blogbeitrag erklärt. Zugleich seien die Malware-Autoren in der Lage, Befehle auf dem betroffenen Gerät aus der Ferne ausführen, etwa um eine über den CnC-Server gesendete URL aufzurufen. Diese könnte beispielsweise auf eine Phishing-Seite verweisen, über die Zugangsdaten gestohlen werden sollen. Denkbar ist auch das Versenden eines Links zu einer von Unternehmen signierten Schad-App, die sich so auf einem iPhone ohne Jailbreak installieren lässt.

„XcodeGhost scheint deutlich weiter verbreitet zu sein, als zunächst angenommen“, sagen auch Forscher der Sicherheitsfirma Appthority. „Wir konnten 476 verseuchte Apps für unsere Kunden innerhalb unserer Datenbank identifizieren.“

Erste mit XcodeGhost befallene Anwendungen sollen schon im April ihren Weg in den offiziellen App Store gefunden haben. Im Lauf der letzten fünf Monate stieg ihre Zahl stetig an, was angesichts von Apples angeblich strengen Prüfungsprozeduren überrascht.

Positiv ist jedoch, dass die Appthority-Forscher keinen Hinweis darauf gefunden haben, dass die mit XcodeGhost verseuchten Apps Zugangsdaten für iCloud oder andere Dienste direkt abgreifen können. „Das Framework selbst enthält keinen Code, um Log-in-Aufforderungen oder anderweitige Warnmeldungen anzuzeigen, die zum Abfischen von Zugangsdaten missbraucht werden können (Die Warnung hat kein Feld für Texteingabe). Der einzige Weg, einen Phishing-Angriff mithilfe des Framework zu starten, besteht darin, den Befehl zum Öffnen einer URL zu senden, die zu einer schädlichen Website führt.“

Auch Apple selbst erklärte laut Ars Technica, dass es keinen Beweis dafür gebe, dass eine der Apps für schädliche Zwecke eingesetzt wurde. Das Unternehmen hatte schon vor einigen Tagen damit begonnen, betroffene Anwendungen aus seinem Marktplatz zu entfernen. Außerdem veröfentlichte es eine Anleitung für Entwickler, wie sie die von ihnen installierte Version von Xcode auf ihre Echtheit prüfen können. In China wird es die Entwicklungsumgebung künftig ebenfalls direkt zum Download anbieten.

Die von XcodeGhost angewandte Methode, um sich in Apples App Store einzuschleusen, erinnert an jene, die die CIA entwickelt haben soll, um die Sicherheit von Apple-Geräten auszuhebeln. Auch der US-Geheimdienst arbeitete von Whistleblower Edward Snowden überlieferten Geheimdokumenten zufolge an einer modifizierten Version von Apples integrierter Entwicklungsumgebung Xcode, um Hintertüren zur Überwachung in damit erstellte Apps einzuschmuggeln, ohne das die Entwickler davon etwas mitbekommen. Damit wollte die CIA Passwörter und Nachrichten infizierter Geräte abgreifen. Das modizifierte Xcode sollte „alle iOS-Anwendungen zwingen, eingebettete Daten an einen Horchposten zu schicken“, heißt es in den Snowden-Unterlagen, die im März von The Intercept veröffentlicht wurden.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.