Cyber-Kriminelle haben eine neue Methode gefunden, um bösartige Software in App-Stores einzuschleusen: Sie infizieren harmlose Apps durch Unterjubeln einer veränderten Entwickler-Software.
Auch interessant: Malware auf dem Smartphone: Informatiker stellen eine Software zum einfachen Schutz vor
Eines der Opfer des XcodeGhost-Angriffs ist die Messenger-App WeChat, die weltweit über 500 Millionen Anwender hat. Der App-Hersteller Tencent hat die infizierte Version seiner Software inzwischen durch eine nicht befallene Version ersetzt.
In Apples App Store für iOS-Geräte sind mehrere Apps aufgetaucht, die mit bösartiger Software infiziert wurden. In den sechseinhalb Jahren, die der App Store bereits existiert, sind bislang erst fünf Fälle bekannt geworden, in denen derartige Software ihren Weg in den Online-Shop gefunden hat.
Beim aktuellem Vorfall jedoch sind laut dem US-amerikanischen Sicherheitsunternehmen Palo Alto Networks „mindestens 39 Apps“ und laut dem chinesischen Sicherheitsunternehmen Qihoo360 Technology 344 infizierte Apps entdeckt worden.
Perfide Einschleusmethode
Wie konnte es dazu kommen? Die Angreifer setzten eine besonders perfide Methode ein: Sie jubelten den Entwicklern der Apps eine veränderte Version der Xcode-Software unter, die dazu dient, Apps für das Betriebssystem iOS zu entwickeln. Diese Software schleuste dann den bösartigen Code in die eigentlich harmlosen Apps ein.
Xcode ist kostenlos bei Apple erhältlich. Wie also gelangte die veränderte Version der Software (von Sicherheitsforschern „XcodeGhost“ getauft) zu den Entwicklern? Anscheinend haben sie sie von chinesischen Servern (konkret: vom Cloud-Dienst des chinesischen Anbieters Baidu) heruntergeladen, wohl weil das Herunterladen dort schneller ablief als bei den Apple-Servern.
Infiziert: Messenger, Visitenkarten-Scanner, PDF-Anzeiger, …
Unter den infizierten Apps befanden sich die vor allem in China beliebte Messenger-Software WeChat, der Visitenkarten-Scanner CamCard, die Taxi-App Didi Chuxing, der Videoabspieler OPlayer, der Komprimierer WinZip und der PDF-Anzeiger PDFReader.
Nach Angaben des Unternehmens Palo Alto Networks dienen die von XcodeGhost eingeschleusten Code-Zeilen hauptsächlich dazu, Informationen zu sammeln und diese Informationen dann an Kontroll-Server zu übertragen. Die Software ist in der Lage, Internet-Adressen zu öffnen, lesend und schreibend auf die Zwischenablage zuzugreifen sowie Dialogfenster anzuzeigen, die vertrauliche Informationen abfragen. Daher handele es sich laut dem Unternehmen um eine „sehr schädliche und gefährliche“ Software. Allerdings seien bislang keine Fälle bekannt geworden, in denen tatsächlich Datendiebstahl stattgefunden habe.
Die Cyber-Kriminellen haben mehreren App-Programmierern eine infizierte Version der Entwicklungsumgebung Xcode untergejubelt.
Quellen: Palo Alto Networks, Tencent Inc.
