ARM-Macs: Erste Malware für Apple-Chip angepasst

Ein Sicherheitsforscher ist auf Adware gestoßen, die nativ auf den neuen M1-Macs lief. Manche Antiviren-Tools zeigen sich dafür noch blind.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen

(Bild: Nanain/Shutterstock.com)

Lesezeit: 2 Min.

Malware-Anbieter haben damit begonnen, ihre Software nativ für ARM-Macs auszulegen: Die Adware GoSearch22 wurde Ende Dezember als für Intel- wie ARM-Macs ausgelegte Universal-App in freier Wildbahn gesichtet und als Sample zu dem Malware-Verzeichnis VirusTotal hochgeladen, wie der Sicherheitsforscher Patrick Wardle bemerkte. Es dürfte sich um eines der ersten dokumentierten Exemplare an Mac-Malware mit beigepackter ARM64-Binary handeln.

Bei der Adware handelt es sich um eine Erweiterung für den vorinstallierten Apple-Browser Safari, die Suchanfragen umleiten soll und dem Nutzer Pop-ups und Banner-Werbung zeigen will, um damit Geld zu verdienen – die Software basiert offenbar auf der beharrlichen, plattformübergreifenden Adware Pirrit. Der Schädling wurde ursprünglich im November 2020 mit einer Apple-Developer-ID signiert, erläutert Wardle in seiner Analyse der Software. Das entsprechende Zertifikat hat Apple bereits zurückgezogen, somit lässt sich die Erweiterung nicht mehr auf Macs ausführen – falls der Anbieter zur Signierung nicht inzwischen auf eine andere Developer-ID umgestiegen sein sollte, merkt der Sicherheitsforscher an.

Ob die Adware es auch wie andere Schädlinge geschafft hat, sich erfolgreich Apples automatisierter Malware-Überprüfung zu unterziehen und damit notarisiert war, bleibt im Nachhinein unklar.

Zahlreiche Programme und Tools laufen inzwischen nativ auf Apples ersten ARM-Macs mit dem M1-Chip des Herstellers, die erst rund ein Vierteljahr im Handel sind. Bislang gibt es nur Einsteiger-Modelle mit Apple-Chip, darunter MacBook Air, das MacBook Pro in der Basisausführung und den Mac mini.

Entsprechend ist es wenig überraschend, dass auch Malware-Entwickler ihre Apps für ARM-Prozessoren anpassen. Problematisch sei aber, dass manche statische Analyse-Tools und Antiviren-Engines derzeit noch Probleme mit ARM64-Binaries haben, schreibt Wardle. In seinen Testläufen sank die Erkennungsrate der reinen ARM-Version von GoSearch22 um rund 15 Prozent im Vergleich zur x86_64-Version.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)