Während Windows PCs aufgrund der deutlich höheren Verbreitung ein attraktiveres Ziel für Viren und Trojaner darstellen, kommt es auch mehr oder weniger regelmäßig vor, dass Schadsoftware für den Mac auftaucht. Nachdem nun schon längere Zeit keine Malware für den Mac aufgetaucht ist, ist nun ein Trojaner bekannt geworden, der sowohl Macs als auch PCs ins Visier nimmt. Entdeckt wurde die Malware von F-Secure, Webroot und Avast.
Janicab.A, so die Bezeichnung des Trojaners, ist mit einer gültigen Apple Developer ID signiert und bedient sich einem speziellen Programmcode, besser bekannt als „right-to-left override“ (RLO), der regelmäßig in Malware-Angriffen in eMails verwendet wird. Dabei tarnt sich der Trojaner als harmlose PDF- oder DOC-Datei.
Die Entwickler von Janicab.A hoffen, dass der Trojaner von einem Anwender unbedarft geöffnet wird. Anschließend muss der Anwender aktiv sein Systempasswort zur Installation eingeben. Mit der o.g. RLO Methode schaffen es die Programmierer, ein ausführbares Programm als PDF oder DOC zu tarnen und ausführen zu lassen. Das von Apple mit OS X Mountain Lion eingeführte Sicherheitsfeature „Gateskeeper“ (hier und dort näher erklärt) ist übrigens machtlos, da der Trojaner wie eingangs erwähnt über eine gültige Apple Developer ID setzt. (via 1, 2)
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
Da sieht man, dass Gatekeeper absolut nichts nützt.
Besser: eigenes Gehirn benutzen.
alex tut mir leid aber du bist so unnötig :’D
Was ist denn ein „Trajoner“?
Frage: Kann ( wird / wann wird) Apple die verwendete Entwickler-Signatur nicht einfach sperren?
Theoretisch ja, praktisch wird es Monate dauern. Die graben in Cupertino gerade das Geld im Geldspeicher um.
haha Dagobert Cook spielt grad im Geldspeicher rum 😀
Hm, gab es da nicht gerade einen Hack-Angriff?
Ich zitiere aus der E-Mail von Apple:
Last Thursday, an intruder attempted to secure personal information of our registered developers from our developer website. Sensitive personal information was encrypted and cannot be accessed, however, we have not been able to rule out the possibility that some developers’ names, mailing addresses, and/or email addresses may have been accessed. In the spirit of transparency, we want to inform you of the issue. We took the site down immediately on Thursday and have been working around the clock since then.
So, so, „in the Spirit of transparency“, hi, hi…