XcodeGhost: 39 infizierte Apps im App Store, Apple entfernt Malware-Apps (u.a. WeChat und WinZip)

| 9:27 Uhr | 6 Kommentare

XcodeGhost bringt infizierte iOS-Apps in den App Store. Ende letzter Woche berichteten erstmal chinesische iOS-Entwickler auf Sina Weibo über eine neue Malware. Die IT-Sicherheitsexperten von Palo Alto Networks haben daraufhin die Malware eingehender untersucht, um festzustellen, wie sich diese ausbreitet, um welche Techniken diese benutzt.

viele_apps

XcodeGhost infiziert Apps

Palo Alto Networks informiert wie folgt

XcodeGhost ist die erste Compiler Malware in OS X. Ihr Schadcode ist in einer Mach-O-Objektdatei untergebracht, die wiederum in einigen Versionen von Xcode Installer verpackt wurde. Diese bösartigen Installer wurden dann zum Cloud-File-Sharing-Dienst Baidu hochgeladen, der von iOS/OS X-Entwicklern verwendet wird. Xcode ist ein offizielles Tool von Apple für die Entwicklung von iOS- oder OS-X-Anwendungen und es ist offensichtlich, dass einige Entwickler diese Trojanerpakete heruntergeladen haben.

XcodeGhost nutzt die Xcode-Standardsuchpfade für System-Frameworks und hat erfolgreich mehrere iOS-Apps infiziert, die von infizierten Entwicklern erstellt wurden. Mindestens zwei dieser iOS-Apps wurden im App-Store platziert, bestanden Apples Code-Überprüfung und wurden zum öffentlichen Download veröffentlicht. Dies ist bereits die sechste Malware, die es bis in den offiziellen App Store geschafft hat, nach LBTM, InstaStock, FindAndCall, Jekyll und FakeTor.

Die primäre Aktivität von XcodeGhost in infizierten iOS-Apps ist es, Informationen über die Geräte zu sammeln und die Daten zu Command-and-Control-Servern (C2) hochzuladen. Die Malware hat einen sehr interessanten Angriffspunkt erschlossen, indem sie auf Compiler zielt, die verwendet werden, um legitime Apps zu erstellen. Diese Technik kann auch angepasst werden, um Unternehmens-iOS-Apps oder OS-X-Anwendungen auf viel gefährlichere Weise anzugreifen.

Entwickler fangen sich XcodeGhost ein, indem sie das von Apple freigegeben Xcode nicht direkt bei Apple herunterladen, sondern andere Quellen für den Download nutzen und sich so die manipulierte Version einhandeln. Nur, wenn man die Code-Signatur der Installer vergleicht, wird klar, dass einige zusätzliche Dateien in Xcode hinzugefügt wurden. Kurzum: XcodeGhost bietet eine sehr einfache Möglichkeit, um mit Xcode erstellte Anwendungen mit Trojanern zu versehen. Angreifer können eine OS-X-Malware schreiben, die eine bösartige Objektdatei direkt in das Xcode-Verzeichnis einfügt. Hinzu kommt, dass obwohl Apples Code-Überprüfungen für App-Store-Einreichungen sehr streng sind, einige Anwendungen von Apple gar nicht überprüft werden. Wenn die iOS App von einem Unternehmen intern verwendet wird beispielsweise, wird sie inhouse verteilt werden und nimmt nicht den Weg über den App Store. Ebenso kann eine OS X App infiziert werden und viele davon werden direkt über das Internet vertrieben.

Mittlerweile werden die ersten Apps bekannt, die infiziert sind. Insgesamt sind 39 Apps betroffen, darunter WeChat, eine der beliebtesten Instant-Messaging-Anwendungen weltweit. Das WeChat Update auf 6.2.6, bei der der Schadcode bereits entfernt wurde, steht bereits zum Download bereit. In erster Linie sind beliebte Apps in China betroffen. Ebenso infiziert: Didi Chuxing, von Didi Kuaidi entwickelt, die beliebteste Uber-ähnliche App in China; Railway 12306, die einzige offizielle App für den Kauf von Fahrkarten in China; die App China Unicom Mobile Office des größten Mobilfunkanbieters in China sowie Tonghuashun, eine der führenden Aktienhandels-Apps.

Einige Anwendungen sind auch in anderen Ländern und nicht nur in China im App Store verfügbar. CamCard, von einem chinesischen Unternehmen entwickelt, ist der beliebteste Business-Kartenleser und Scanner in vielen Ländern weltweit. Ebenso infiziert sind unter anderem: WinZip, PDFReader (Free), WinZip Standard, MoreLikers2, CamScanner Lite, MobileTicket, OPlayer Lite, Wallpapers10000, TinyDeal.com, PocketScanner, DataMonitor, FlappyCircle, SaveSnap, Guitar Master, WinZip Sector und Quick Save.

Apple hat sich mittlerweile zu Wort gemeldet und bestätigt, dass man alle bekannten infizierten Apps aus dem App Store entfernt habe, die mit XcodeGhost entwickelt wurden Man arbeite mit den Entwicklern zusammen, um sicherzustellen, dass Entwickler die echte Version von Xcode verwenden.

Kategorie: App Store

Tags: ,

6 Kommentare

  • Somaro

    Ich begreife das nicht. Xcode ist kostenfrei verfügbar, jeder Apple-Entwickler muss sich sowieso bei Apple einloggen und der Konzern hat einen riesigen Serverpark. Wie blöd muss man eigentlich sein, um den Button „Xcode jetzt herunterladen“ bzw den direkten App Store zu ignorieren und stattdessen zu googlen und den nächstbesten Link anzuklicken?!
    .
    Und kommt nicht „ist einfacher“. Einfacher als der App Store geht doch schon gar nicht mehr. Wenn ich Office runterlade, gehe ich auch zu Microsoft und google mich nicht auf irgendeine Warez-Seite.

    21. Sep 2015 | 10:46 Uhr | Kommentieren
  • Jeffrey

    Seh ich genau so Somaro. Diese Entwickler sollten noch eine auf den Deckel bekommen für so viel „Dummheit“.

    21. Sep 2015 | 11:43 Uhr | Kommentieren
  • Maik

    Sehe ich genauso. Als Entwickler hat man meiner Meinung nach auch eine gewisse Verantwortung. Und sich dann ein gratis Tool von einer nicht Öffentlichen bzw. geprüften Site zu laden ist grob fahrlässig. Das sind dann höchstwahrscheinlich auch die Leute, die das Prinzip der  Philosophie nicht verstanden haben und auf den nächsten Jailbreak warten.
     sollte solchen Entwicklern es untersagen, neue Apps einzureichen. Sie unterwandern damit das ganze System. Ist für mich nicht nachvollziehbar.
    Und wenn ich den News Ticker auf N24 lese, bekomme ich das kotzen. „Erster großer Hacker angriff auf den Apple Store“…
    Dieses unnötige Gehype gleich wieder. Das andere Hersteller nicht einmal darüber nachdenken ihre Sicherheitslücken zu schließen muss man ja nicht erwähnen.

    21. Sep 2015 | 13:45 Uhr | Kommentieren
  • DvdV

    Natürlich sind die Developer die, die hier die Hauptschuld trifft. Trotzdem muss Apple als Reaktion die eingereichten Apps ausführlicher auf Malware testen. Es reicht nicht zu sagen: Ihr könnt den Code hier herunter laden und dann prüfen wir nur den Inhalt der Apps. Apple muss die Apps intensiv testen und darf diese nur freigeben, wenn sie sicher sind.

    21. Sep 2015 | 15:06 Uhr | Kommentieren
    • Somaro

      Wie stellst Du dir das vor?
      Soll Apple jede einzelne App auf einem Testsytem starten, den Datenverkehr überprüfen, den Speicher kontrollieren?
      Dann würde jedes Update einen Monat brauchen, bis es im Store ist.

      21. Sep 2015 | 17:12 Uhr | Kommentieren
  • Sebo

    Habe gestern (neben dem sinnlosen und schlecht recherchierten Gefasel) eine recht plausible Aussage bei einer Nachrichtensendung mitbekommen. Es besteht ja die Möglichkeit das chinesische Developer gar nicht immer die Möglichkeit haben die Websites von Apple zu erreichen. Immerhin scheint es in China üblich seitens der chinesischen Regierung Websites zu sperren.

    22. Sep 2015 | 9:56 Uhr | Kommentieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *