Trojaner für Mac OS X verbreitet sich über manipulierte Software-Downloads

Der Sicherheitsanbieter Eset warnt vor mit Malware verseuchten Downloads der Mediensoftware Elmedia Player sowie des zugehörigen Downloaders. Sie standen vorübergehend auf den Servern des Anbieters Eltima zur Verfügung, der seinen Media Player mit mehr als einer Million Nutzern weltweit bewirbt. Einige davon haben nun möglicherweise ihren Mac mit einem Remote Access Trojan namens Proton infiziert.

Zuvor hatten die unbekannten Täter die Download-Server von Eltima kompromittiert. Der Einbruch offenbarte sich am 19. Oktober, nachdem Forscher von Eset feststellten, dass der Elmedia Player Schadsoftware verbreitet. Betroffen sind Nutzer, die an dem Tag die Software bis etwa 21.15 Uhr deutscher Zeit heruntergeladen haben.

Ein Sprecher des Unternehmens bestätigte per E-Mail einen Einbruch in den Download-Server. Als Einfallstor dienste demnach eine JavaScript-Bibliothek. Wie oft die Software in diesem Zeitraum heruntergeladen wurde, ist nicht bekannt. Inzwischen bietet Eltima wieder eine bereinigte Version des Elmedia Player an.

Eset weist darauf hin, dass es den Hackern gelungen ist, den legitimen Media Player in einen signierten Wrapper zu packen und den Proton-Trojaner darin zu verstecken. Der Wrapper war zudem mit der Apple Developer ID von Eltima signiert. Sie sei inzwischen widerrufen worden. Zusammen mit Apple untersuche man noch, wie es möglich war, die offizielle Entwickler-ID für die Tarnung der Malware zu missbrauchen.

Betroffen sind offenbar nur Nutzer, die in der Zeit eine Neuinstallation der Software vorgenommen haben – Updates waren indes nicht mit der Malware verseucht. Sie stehen nun vor dem Problem, dass sich der Trojaner nur durch eine Neuinstallation des Betriebssystems beseitigen lässt. Eine Infektion ist unter anderem daran zu erkennen, dass sich auf dem System einer der folgenden Ordner befindet: „/tmp/Updater.app/“, „/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist“, „/Library/.rand/“ oder „/Library/.rand/updateragent.app/“.

Proton installiert eine Hintertür, die es einem Angreifer erlaubt, nahezu die vollständige Kontrolle über ein System zu übernehmen. Unter anderem hat er Zugriff auf Browserdaten, Daten von Keychain, Tastatureingaben und damit auch auf Nutzernamen und Passwörter. Eset rät Betroffenen, Maßnahmen zu ergreifen, um einen Missbrauch ihrer Daten zu verhindern.

Es war nicht das erste Mal, dass es Hackern gelungen ist, den Proton-Trojaner in einer legitimen Software zu verstecken. Im Mai wurden die Download-Server des Open-Source-Video-Tools Handbrake kompromittiert. Die infizierte Version war rund 4 Tage lang verfügbar. Die Wahrscheinlichkeit, in dem Zeitraum eine infizierte Version von Handbrake erhalten zu haben, lag bei 50 Prozent.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.