XcodeGhost: FireEye will über 4000 infizierte iOS-Apps entdeckt haben

Ursprünglich war man lediglich von rund 40 betroffenen Anwendungen ausgegangen. Erste mit XcodeGhost verseuchte Programme sollen schon im April ihren Weg in den offiziellen App Store gefunden haben. Die Verbreitungsmethode der Malware erinnert an eine von der CIA entwickelte.

Die Zahl der mit der Malware XcodeGhost verseuchten iOS-Apps ist offenbar deutlich größer als zunächst angenommen. War ursprünglich von rund 40 Anwendungen die Rede, will der Sicherheitsanbieter FireEye inzwischen über 4000 betroffene Programme in Apples App Store identifiziert haben.

Apple Xcode (Bild: Apple)Die mit einer modifizierten Version von Apples Entwicklungsumgebung Xcode erstellten Schadprogramme können Geräte- und Nutzerinformationen auslesen und sie an einen Command-and-Control-Server (CnC) senden, wie FireEye in einem Blogbeitrag erklärt. Zugleich seien die Malware-Autoren in der Lage, Befehle auf dem betroffenen Gerät aus der Ferne ausführen, etwa um eine über den CnC-Server gesendete URL aufzurufen. Diese könnte beispielsweise auf eine Phishing-Seite verweisen, über die Zugangsdaten gestohlen werden sollen. Denkbar ist auch das Versenden eines Links zu einer von Unternehmen signierten Schad-App, die sich so auf einem iPhone ohne Jailbreak installieren lässt.

„XcodeGhost scheint deutlich weiter verbreitet zu sein, als zunächst angenommen“, sagen auch Forscher der Sicherheitsfirma Appthority. „Wir konnten 476 verseuchte Apps für unsere Kunden innerhalb unserer Datenbank identifizieren.“

Erste mit XcodeGhost befallene Anwendungen sollen schon im April ihren Weg in den offiziellen App Store gefunden haben. Im Lauf der letzten fünf Monate stieg ihre Zahl stetig an, was angesichts von Apples angeblich strengen Prüfungsprozeduren überrascht.

Positiv ist jedoch, dass die Appthority-Forscher keinen Hinweis darauf gefunden haben, dass die mit XcodeGhost verseuchten Apps Zugangsdaten für iCloud oder andere Dienste direkt abgreifen können. „Das Framework selbst enthält keinen Code, um Log-in-Aufforderungen oder anderweitige Warnmeldungen anzuzeigen, die zum Abfischen von Zugangsdaten missbraucht werden können (Die Warnung hat kein Feld für Texteingabe). Der einzige Weg, einen Phishing-Angriff mithilfe des Framework zu starten, besteht darin, den Befehl zum Öffnen einer URL zu senden, die zu einer schädlichen Website führt.“

Auch Apple selbst erklärte laut Ars Technica, dass es keinen Beweis dafür gebe, dass eine der Apps für schädliche Zwecke eingesetzt wurde. Das Unternehmen hatte schon vor einigen Tagen damit begonnen, betroffene Anwendungen aus seinem Marktplatz zu entfernen. Außerdem veröfentlichte es eine Anleitung für Entwickler, wie sie die von ihnen installierte Version von Xcode auf ihre Echtheit prüfen können. In China wird es die Entwicklungsumgebung künftig ebenfalls direkt zum Download anbieten.

Die von XcodeGhost angewandte Methode, um sich in Apples App Store einzuschleusen, erinnert an jene, die die CIA entwickelt haben soll, um die Sicherheit von Apple-Geräten auszuhebeln. Auch der US-Geheimdienst arbeitete von Whistleblower Edward Snowden überlieferten Geheimdokumenten zufolge an einer modifizierten Version von Apples integrierter Entwicklungsumgebung Xcode, um Hintertüren zur Überwachung in damit erstellte Apps einzuschmuggeln, ohne das die Entwickler davon etwas mitbekommen. Damit wollte die CIA Passwörter und Nachrichten infizierter Geräte abgreifen. Das modizifierte Xcode sollte „alle iOS-Anwendungen zwingen, eingebettete Daten an einen Horchposten zu schicken“, heißt es in den Snowden-Unterlagen, die im März von The Intercept veröffentlicht wurden.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Themenseiten: Anwendungsentwicklung, Apple, Malware, iOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu XcodeGhost: FireEye will über 4000 infizierte iOS-Apps entdeckt haben

Kommentar hinzufügen
  • Am 25. September 2015 um 7:55 von Mac-Harry

    Verstehe ich das richtig, es gibt für iOS jetzt einen Schad-Code, so wie es 40 Millionen Scha-Codes für Microsoft Windows gibt? Einen einzigen? Na ja. Wozu die Aufregung?

    • Am 25. September 2015 um 11:16 von C

      Nein. Du hast es bislang nicht verstanden. Oder, Du willst es nicht verstehen.
      Weder die Ursache, noch dessen Wirkung.

      Und – die Aufregung geht dahingehend, dass schadhafte APPs, trotz intensiver Prüfung durch Apple VOR Zulassung zum APP-Store – es in den APP-Store in umfangreicher Anzahl geschafft haben.

      Genauso die Aufregung über Apple, dass die iCloud damals Brute-Force Attacken überhaupt erst zuließ, anstatt diese nach 3-maligem Fehl-Versuch zu blocken.

      Oder, dass iMessages – Default-mäßig – auf iCloud gespeichert werden und dass Apple diese dort nicht mit einem starken, für Apple nicht zugänglichen Verfahren verschlüsselt – so dass diese letztendlich leicht decodierbar sind.

      Sicherheit im Marketing anpreisen ist etwas anderes als Sicherheit im realen Leben umsetzen und praktizieren. Vielleicht verstehst Du das. Die bislang Geschädigten sollten es verstanden haben.
      Und – nur weil auf dem Black-Market eine iOS-Zero-Day Lücke bis zu 1 Mio. US-$ kosten kann, heißt das noch lange nicht, dass iOS sicher ist. Auch darüber solltest Du mal nachdenken, anstatt hier die Apfel-Werbe-Trommel stets zu rühren.

    • Am 25. September 2015 um 12:00 von hicks

      genau macy, wozu die aufregeung :) einer is keiner.
      gestern waren es 15apps oder so, heute 4.000. und da apple keine „beweise“ hat, dass es zu schadensfällen kam, würde ich das ignorieren :) die realität kann grausam sein. bleib mal in deinem apple-cocon

  • Am 26. September 2015 um 1:33 von Judas Ischias

    @Mac-Harry,
    hast Du schon mal nachgeschaut ob Du nicht auch so eine App auf Dein iPhone geladen hast, oder wirst Du von Apple informiert? ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *