Categories: SicherheitVirus

Mac-Malware gibt sich als Börsen-App aus und stiehlt Nutzerdaten

Trend Micro warnt vor einem neuen Trojaner, der sich gegen Nutzer von Apples Desktop-Betriebssystem macOS richtet. Der Trojan.MacOS.GMERA genannte Schädling, der bisher in zwei Varianten vorliegt, gibt sich als die legitime Börsenhandels-App Stockfolio aus. Sie ist unter anderem in der Lage, persönliche Daten auszuspähen, und Daten über den verwendeten Mac zu sammeln.

Entdeckt wurde die Schadsoftware von Trend Micros Machine-Learning-System, das bestimmte Shell-Skripte als verdächtig einstufte. Tatsächlich enthielt das erste analysierte Muster neben der legitimen Stockfolio-App eine versteckte und verschlüsselte Datei, wobei die Stockfolio-App (Version 1.4.13) mit einem gefälschten Zertifikat versehen war.

Wird die gefälschte App installiert, werden auch zwei Skripte gestartet, von denen eines den Nutzernamen und die IP-Adresse aufzeichnet sowie die Inhalte der Ordner „Anwendungen“, „Dokumente“ und „Desktop“ erfasst. Diese Daten speichert die Malware in einer verschlüsselten Datei und lädt sie auf einen Server im Internet hoch. Das andere ist für die Installation der eigentlichen Börsen-App zuständig.

Mithilfe des gefälschten digitalen Zertifikats der ersten Variante fand Trend Micro eine neuere B-Variante des Trojaners. Sie war bereits im Juni 2019 auf VirusTotal hochgeladen worden. Auch sie basiert auf der eigentlich veralteten Version 1.4.13 von Stockfolio – aktuell ist die Version 1.5.

Um sich dauerhaft auf einem Mac einzurichten legt die neue Variante eine Property List (plist-Datei) an. Sie wiederum startet eine Reverse-Shell, mit der die Malware Befehle von einem Server im Internet empfangen kann.

„Angesichts der Veränderungen, die wir von der ersten Iteration der Malware-Variante bis zur aktuellen Version gesehen haben, beobachten wir einen Trend, bei dem die Malware-Autoren ihre Routine vereinfacht und um weitere Funktionen erweitert haben. Es ist möglich, dass die Hintermänner nach Möglichkeiten suchen, sie effizienter zu gestalten – vielleicht sogar in Zukunft mit Ausweichmechanismen.

Apple teilte auf Nachfrage von Trend Micro mit, dass das für den Trojaner verwendete digitale Zertifikat bereits im Juli wiederrufen wurde. Darüber hinaus rät der japanische Sicherheitsanbieter, Apps nur aus vertrauenswürdigen Quellten zu installieren.

WEBINAR

BlackBerry Intelligent Security - Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Erfahren Sie in diesem Webinar, wie Sie die Vorteile von BlackBerry Intelligent Security in Ihrem Unternehmen voll ausschöpfen. Dazu zählen etwa eine höhere Endgerätesicherheit, ein verbesserter Bedienkomfort sowie eine erhöhte Produktivität bei reduzierten Kosten.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Roborock mit erfolgreichem Börsengang

Die Aktien des Saugroboterherstellers steigen um 84,5 Prozent auf 500,1 Yuan. Damit erzielt das Unternehmen einen Erlös von knapp 591…

2 Stunden ago

Google warnt vor Microsoft-Browser Edge

Die Warnung wird beim Besuch des Chrome Web Stores eingeblendet und empfielt den Nutzern die Installation von Chrome. Allerdings wird…

5 Stunden ago

Supercomputer Hawk mit 11.260 AMD-Prozessoren geht in Betrieb

Das Höchstleistungsrechenzentrum in Stuttgart (HLRS) hat heute offiziell den Supercomputer Hawk in Betrieb genommen. Der Großrechner stammt von Hewlett Packard…

5 Tagen ago

BlackBerry: Automobilindustrie und Einzelhandel sollten sich auf mehr Bedrohungen einstellen

Der Anstieg von Angriffen in der Automobilindustrie werde durch die fortschreitende Vernetzung der PKWs begünstigt. Das ist das Ergebnis des…

5 Tagen ago

Telekom blickt auf ein Rekordjahr zurück

Der Konzern erzielt 2019 einen Umsatz von 80,5 Milliarden Euro, was einem Anstieg gegenüber dem Vorjahr um 6.4 Prozent entspricht.…

5 Tagen ago

Dell will RSA Security an Symphony Technology Group verkaufen

Dieser Schritt soll das Portfolio von Dell vereinfachen und der RSA ermöglichen, sich auf ihre Kernaufgabe im Bereich Sicherheit zu…

5 Tagen ago