Bemerkenswerte Zielgruppe: Malware attackiert iOS-App-Entwickler

Christian Kahle am 19.03.2021 08:22 Uhr
3 Kommentare
Malware, die auf bestimmte Zielgruppen angesetzt wird, ist an sich nicht ungewöhnlich - ein aktueller Fall ist aber selbst in diesem Bereich be­mer­kens­wert: Attackiert werden hier die Entwickler von Apps für Apples iOS-Plattform.

Sicherheitsforscher, die den Schädling entdeckten, haben ihn auf den Namen XcodeSpy ge­tauft. Die eigentliche Malware wurde dabei in Code-Projekten für Apples Ent­wick­lungs­um­ge­bung Xcode versteckt. Da es sich um Quellcode handelte, der häufig als Kom­po­nen­te in an­de­re Projekte eingebunden wird, konnten die Autoren der Malware eine gewisse Breite erreichen.

Wie aus einer Analyse der Sicherheitsforscher von SentinelOne hervorgeht, wurde der Schad­code jeweils aktiv, wenn ein Projekt kompiliert und getestet wurde. Hier ist die Ge­le­gen­heit günstig, weil Sicherheitsvorkehrungen des MacOS-Systems, die bei einer Ak­ti­vi­tät un­be­kann­ter Software Alarms schlagen sollten, ohnehin ausgeschaltet sind. Im Zuge dessen in­stal­lier­te sich dann ein LaunchAgent, der dafür sorgte, dass XcodeSpy auch den nächsten Sys­tem­start überlebt. Als zweite Payload wurde darüber hinaus EggShell installiert, eine re­la­tiv be­kann­te Backdoor.

Keine herausragende Leistung

Über diese Spionage-Software können die An­grei­fer beispielsweise auf Mikrofon, Kamera und Tas­ta­tur­eingaben zugreifen. Aber auch Dateien lassen sich so auf den Rechner und von ihm he­run­ter­la­den. Die Leute hinter der Malware dürf­ten es also darauf abgesehen haben, mit Schad­code, den man aus den einschlägigen Quel­len im Darknet zusammensammelte, die Ent­wick­ler von Apps auszuspionieren.

Ob man dabei letztlich weitergehende Angriffsvektoren gegen Endnutzer finden oder nur die Entwickler selbst ausforschen wollte, ist nicht klar. Die Sicherheitsforscher haben die Malware zwar unter anderem im Netzwerk eines Unternehmens gefunden, das sich selbst immer wieder als Ziel nordkoreanischer Angreifer sieht - doch gibt es letztlich keine handfesten Indizien dafür, dass der Schadcode von Gruppen mit staatlichem Background eingesetzt wird. Denn die Idee des Angriffsweges ist zwar einigermaßen originell, den Code selbst bekommt aber im Grunde jeder Einzeltäter zusammengebaut, der sich ein wenig mit Malware-Entwicklung auskennt.

Siehe auch:

3 Kommentare lesen & antworten
Jede Woche neu: Top-News per E-Mail
Verwandte Themen
MacOS
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies