Malware im App Store

Mac-Montag vom 21. September: XcodeGhost. Apple rühmt sich, für das iPhone und iOS und dem App-Store mit seinen Zugangskontrollen einen sicheren Ort geschaffen zu haben. Doch nun erschüttert ein erfolgreicher Hacker-Angriff die sicher geglaubte Apple-Festung. Möglicherweise ist in Hunderte Programme eine Schadsoftware eingebaut worden. Apple räumte den Angriff bereits ein und versichert, betroffene Apps aus dem Store entfernt zu haben. Allerdings wird nicht erwähnt, wie man als Anwender feststellen kann, ob man selbst Opfer dieser Malware-Attacke geworden ist.

Ersten am Freitag ( 18.9 ) von Palo Alto Networks veröffentlichten Erkenntnissen zufolge, konnten Apps über veränderte Versionen der Apple-Entwicklerumgebung Xcode infiziert werden. Xcode lädt beim Erstellen von Apps einige Bibliotheken ungeprüft in den Programmcode der Apps.

XcodeGhost ist die erste Compiler Malware in OS X. Ihr Schadcode ist in einer Mach-O-Objektdatei untergebracht, die wiederum in einigen Versionen von Xcode Installer verpackt wurde. Diese bösartigen Installer wurden dann zum Cloud-File-Sharing-Dienst Baidu hochgeladen, der von iOS/OS X-Entwicklern verwendet wird. Xcode ist ein offizielles Tool von Apple für die Entwicklung von iOS- oder OS-X-Anwendungen und es ist offensichtlich, dass einige Entwickler diese Trojanerpakete heruntergeladen haben. [ Palo Alto Networks ]

Verbreitet wird das modifizierte Xcode über Datei-Server in China, weil vielen Entwicklern ein Download von mehreren Gigabyte von einem Apple-Server aus Geschwindigkeitsgründen nicht möglich sei.

Nach aktuellem Stand sind bereits 39 iOS-Apps infiziert, von denen einige in China und in anderen Ländern auf der ganzen Welt sehr verbreitet sind – bei Hunderten von Millionen Benutzern. Zu den infizierten iOS-Apps gehören Instant-Messaging-Plattformen, Banking-Anwendungen, Netzbetreiber-Apps, Aktienhandels-Apps, SNS-Apps und Spiele.

Da WeChat Version 6.2.5 infiziert ist, hat Tencent das Update 6.2.6 herausgebracht und damit den schädlichen Code entfernt. Betroffen sind ebenfalls: Didi Chuxing, von Didi Kuaidi entwickelt, die beliebteste Uber-ähnliche App in China; Railway 12306, die einzige offizielle App für den Kauf von Fahrkarten in China; die App China Unicom Mobile Office des größten Mobilfunkanbieters in China sowie Tonghuashun, eine der führenden Aktienhandels-Apps.

Einige Anwendungen sind auch in anderen Ländern im App Store verfügbar. CamCard, von einem chinesischen Unternehmen entwickelt, ist der beliebteste Business-Kartenleser und Scanner in vielen Ländern weltweit. Ebenso infiziert sind unter anderem: WinZip, PDFReader (Free), WinZip Standard, MoreLikers2, CamScanner Lite, MobileTicket, OPlayer Lite, Wallpapers10000, TinyDeal.com, PocketScanner, DataMonitor, FlappyCircle, SaveSnap, Guitar Master, WinZip Sector und Quick Save.