Sicherheitsforscher fürchten infiltrierte App-Store-Anwendungen
Die XCSSET-Malware kommt über Xcode-Projekte auf den Mac. Das könnte Auswirkungen auf Apples Sicherheitskonzept haben.
Arbeit mit SwiftUI in Xcode.
(Bild: Apple)
Sicherheitsforscher von Trend Micro haben nähere Details zur frisch entdeckten Malware XCSSET für den Mac genannt, die einen neuartigen Infektionsweg zeigt. Die Angreifer verwenden 0-Day-Exploits etwa für Safari, um Nutzerdaten zu entwenden.
Der Schadcode wird laut der Entdecker in lokale Xcode-Projekte auf dem Mac injiziert und ausgeführt, sobald die Software kompiliert wird. Besonders problematisch: Man habe mehrere von der Malware betroffene Entwickler ausgemacht, die ihre Xcode-Projekte über die Online-Plattform für Dritte bereitgestellt haben. Darin ist der Schadcode bereits enthalten.Betroffen waren bekannte Open-Source-Plattformen wie Github, auf denen sich viele Devs frei bedienen.
Bösartige Payloads jedweder Art
Wie die beiden Trend-Micro-Security-Experten Oleksandr Shatkivskyi und Vlad Felenuik nun in einem Interview mitteilten, fürchten sie, das auf diese Art auch Schadcode in Apples Mac App Store gelangen könnte. Die "Malware Injects" via Xcode seien eine "ungewöhnliche Infektion". Man habe es mit einem "Kaninchenloch bösartiger Payloads" zu tun, die ein "signifikantes Risiko für Mac-Nutzer" darstellten.
Schon zuvor hatte Trend Micro entdeckt, dass XCSSET Screenshots aufnehmen und Daten aus Apps wie Notizen, Evernote, Skype, Telegram und WeChat auslesen kann. Ransomware-Funktionen zur Verschlüsselung von Dateien seien ebenfalls integriert. Daten lassen sich auf fremde Server exfiltrieren. Bei der Untersuchung des Command & Control-Servers der Angreifer habe man eine Liste mit gesammelten IP-Adressen von 380 Opfern aufgespürt, von denen der Großteil China (152) und Indien (103) zuzuordnen ist, so das Sicherheitsunternehmen.
Angriff auf die App-Lieferkette
Shatkivskyi und Felenuik warnen davor, dass Verifikationsmethoden, mit denen sonst Infektionen aufgedeckt werden könnten, nicht greifen, etwa das Überprüfen von Hashes, da der Schadcode von vorne herein Teil einer App ist. Die Angreifer haben damit eine Art "Lieferkettenangriff" konstruiert. Entwickler seien sich oft gar nicht bewusst, dass ihr Projekt infiziert sei.
Die Sicherheitsforscher glauben nicht, dass die Mac-App-Store-Prüfer solchen Code entdecken würden. Denkbar sind darüber hinaus auch Angriffe auf iOS, da Xcode die Entwicklungsumgebung auch für iOS und alle weiteren Apple-Betriebssysteme ist. Apple soll bereits seit Dezember 2019 informiert sein. Trend Micro hofft, dass der Konzern "kraftvoll und schnell" reagiert. (bsc)
