Malware, die auf bestimmte Zielgruppen angesetzt wird, ist an sich nicht ungewöhnlich - ein aktueller Fall ist aber selbst in diesem Bereich bemerkenswert: Attackiert werden hier die Entwickler von Apps für Apples
iOS-Plattform.
Sicherheitsforscher, die den Schädling entdeckten, haben ihn auf den Namen XcodeSpy getauft. Die eigentliche Malware wurde dabei in Code-Projekten für
Apples Entwicklungsumgebung Xcode versteckt. Da es sich um Quellcode handelte, der häufig als Komponente in andere Projekte eingebunden wird, konnten die Autoren der Malware eine gewisse Breite erreichen.
Wie aus einer
Analyse der Sicherheitsforscher von SentinelOne hervorgeht, wurde der Schadcode jeweils aktiv, wenn ein Projekt kompiliert und getestet wurde. Hier ist die Gelegenheit günstig, weil Sicherheitsvorkehrungen des MacOS-Systems, die bei einer Aktivität unbekannter Software Alarms schlagen sollten, ohnehin ausgeschaltet sind. Im Zuge dessen installierte sich dann ein LaunchAgent, der dafür sorgte, dass XcodeSpy auch den nächsten Systemstart überlebt. Als zweite Payload wurde darüber hinaus EggShell installiert, eine relativ bekannte Backdoor.
Keine herausragende Leistung
Über diese Spionage-Software können die Angreifer beispielsweise auf Mikrofon, Kamera und Tastatureingaben zugreifen. Aber auch Dateien lassen sich so auf den Rechner und von ihm herunterladen. Die Leute hinter der Malware dürften es also darauf abgesehen haben, mit Schadcode, den man aus den einschlägigen Quellen im Darknet zusammensammelte, die Entwickler von Apps auszuspionieren.
Ob man dabei letztlich weitergehende Angriffsvektoren gegen Endnutzer finden oder nur die Entwickler selbst ausforschen wollte, ist nicht klar. Die Sicherheitsforscher haben die Malware zwar unter anderem im Netzwerk eines Unternehmens gefunden, das sich selbst immer wieder als Ziel nordkoreanischer Angreifer sieht - doch gibt es letztlich keine handfesten Indizien dafür, dass der Schadcode von Gruppen mit staatlichem Background eingesetzt wird. Denn die Idee des Angriffsweges ist zwar einigermaßen originell, den Code selbst bekommt aber im Grunde jeder Einzeltäter zusammengebaut, der sich ein wenig mit Malware-Entwicklung auskennt.
Siehe auch: