Bedrohungsakteure betten Malware in macOS-Flutter-Anwendungen ein

Der Sicherheitsanbieter Jamf warnt vor einer neuen Schadsoftware für das Apple-Betriebssystem macOS. Die Malware nutzt verschiedene Technologien, darunter Flutter, Go und Python, um macOS-Systeme anzugreifen sowie Verschleierungstaktiken, um Sicherheitsmaßnahmen zu umgehen. Zudem weist sie Ähnlichkeiten mit von nordkoreanischen Akteuren (DPRK) entwickelter Malware auf.

Flutter ist ein App-Entwickler-Kit von Google für einheitliche, plattformübergreifende Anwendungen. Apps, die mit Flutter erstellt wurden, verfügen über ein App-Layout, das den Code weitgehend verschleiert. Zudem erschwert die Komplexität der Flutter-Architektur die Analyse und Erkennung von Malware erheblich.

Die Flutter-Anwendung tarnt sich wiederum als harmlose App. Bei der Ausführung sendet sie eine Anfrage an eine bekannte DPRK-Domain, um einen zweiten Payload herunterzuladen, der im nächsten Schritt AppleScript-Codes ausführen kann. Über AppleScript können Angreifer unterschiedliche Befehle auf dem infizierten macOS-System ausführen. Die Jamf-Experten haben zunächst vier infizierte Anwendungen identifiziert, von denen zwei zu einem früheren Zeitpunkt mit einer legitimen Entwicklersignatur signiert waren. Zum Zeitpunkt der Entdeckung hatte Apple diese Signaturen bereits widerrufen.

Neben der Flutter-Anwendung wurden Jamf zufolge auch Varianten in den Programmiersprachen Golang und Python entdeckt. Die Golang-Variante funktioniert ähnlich wie die Flutter-Version. Die Python-Variante ist als eigenes App-Bundle mit der Py2App verpackt. Die Malware tarnt sich dabei als funktionale Notepad-Anwendung.

„Es ist nicht ungewöhnlich, dass Angreifer Malware in eine Flutter-basierte Anwendung einbetten. Dies ist jedoch das erste Mal, dass Jamf einen Fall identifizieren konnte, bei dem Angreifer damit gezielt macOS-Geräte angreifen. Noch ist unklar, ob es sich um echte Malware oder um einen Test für neuartige Malware-Attacken handelt“, teilte der Sicherheitsanbieter mit.

Das Threat-Labs-Team von Jamf vermutet jedoch, dass es sich bei der Malware um einen Testlauf für einen größeren Angriff handelt. Die verantwortlichen Akteure seien dafür bekannt, sehr überzeugende Social-Engineering-Kampagnen durchzuführen. Es könne sich hierbei also um einen Versuch handeln, herauszufinden, ob eine ordnungsgemäß signierte App mit bösartigem Code, der in einer Dylib versteckt ist, von Apple genehmigt wird und wie lang diese dann unter dem Radar von Security-Anbietern, die generische, nicht auf OS-Betriebssysteme spezialisierte Lösungen bereitstellen, bleibt.