Thought Leadership
XcodeGhost ist ein weiteres Beispiel dafür, dass auch iOS-Geräte Cyberangriffen ausgesetzt sein können. Und das trotz einer vorbildlichen Regulierung durch Apple, schadhafte Apps im App Store nicht aufzunehmen.
Kunden der Enterprise-Lösung Lookout Mobile Threat Protection sind vor dieser Malware bereits geschützt und brauchen nichts zu unternehmen. Für Privatkunden unserer Sicherheitslösung haben wir weitere Informationen zusammengestellt.
Bei XcodeGhost handelt es sich um Malware, die mithilfe einer manipulierten Apple Xcode-Version in iOS-Apps eingebettet wird und Daten von iOS-Geräten entwendet. Die Malware hat sich in eine Reihe von Anwendungen im Apple App Store eingeschleust, ohne dass die Entwickler dieser Apps es bemerkt haben. Es handelt sich um den größten Angriff auf den App Store, den wir bisher erlebt haben.
Chinesische iOS-Entwickler entdeckten die Malware, die von Palo Alto Networks weiter analysiert wurde. Der Schadcode betrifft möglicherweise mehrere hundert Millionen Nutzer und befindet sich in bekannten Apps wie WeChat. Diese beliebte Messaging-App wird von weltweit über 600 Mio. Nutzern aktiv genutzt, von denen 100 Mio. außerhalb der USA leben. Ein weiteres Beispiel ist die App CamCard, ein Visitenkartenleser aus China, der ebenfalls weltweit zum Einsatz kommt.
Sowohl Unternehmen als auch Privatnutzer von iOS-Geräten müssen sich im Klaren sein: Es gibt immer mehr Daten, auf die über Smartphones und Tablets zugegriffen wird, und Betrüger nutzen immer raffiniertere Angriffsmethoden, um an diese Daten zu kommen.
Wie ist die Malware in den App Store gelangt?
XcodeGhost ist eine Compiler-Malware. Statt eine bösartige App zu entwickeln und sie in den App Store einzuschleusen, haben die Enwickler von XcodeGhost zielgerichtet Apples anerkanntes iOS/OSX-App-Entwicklungstool namens Xcode benutzt, um den Schadcode in seriöse Apps einzubetten.
Die Entwickler von XcodeGhost haben Xcode-Installer mit dem Schadcode präpariert und in vielen beliebten Foren, in denen sich iOS/OSX-Entwickler aufhalten, Links zum Installer veröffentlicht.
Entwickler wurden zum Download dieser manipulierten Xcode-Version verleitet, da das Herunterladen dieser Version in China viel schneller ging als der Download der offiziellen Xcode-Version aus Apples Mac App Store. Bei der Installation des vermeintlich sicheren App-Entwicklungstools erhielten die Entwickler die manipulierte Version, die dann zusammen mit dem Code der App auch den Schadcode zusammensetzte.
Diese Entwickler, die sich über die Manipulation ihrer Apps nicht bewusst waren, luden dann ihre Apps für iOS-Geräte in den App Store hoch.
Was kann die Malware anrichten?
Wenn ein Opfer Apps mit diesem Schadcode herunterlädt und installiert, greift der Code auf eine Reihe an Geräteinformationen zu; laut Palo Alto Networks gehören zu diesen Daten:
- Name der infizierten App
- App-Bundle-Identifier
- Gerätename und -typ
- Netzwerkinformationen
- “IdentifierForVendor” des Gerätes
Diese Daten werden dann verschlüsselt an einen Command-and-Control-Server (C&C) übertragen.
Lookout ermittelt das genaue Vorgehen des Schadcodes. Es muss untersucht werden, ob der Code Befehle von einem C&C empfangen und ausführen kann. So ließen sich beispielsweise bestimmte URLs öffnen oder Aufforderungen in Dialogfenstern auf dem Bildschirm des infizierten iOS-Gerätes anzeigen. Das sind gängige Wege des Phishings, um sensible Daten, wie die Apple-ID sowie das Kennwort, abzugreifen.
Was bedeutet das?
Es gibt keine perfekten, absolut sicheren Systeme. Apple hat in der Vergangenheit ausgezeichnete Arbeit geleistet, um den App Store frei von Malware zu halten. Betrüger suchen sich jedoch immer neue Angriffsmöglichkeiten. Dies ist für Cyberkriminelle auch deshalb von großem Interesse, weil Apples iOS-Produkte nach wie vor einen wachsenden Marktanteil verzeichnet und von Menschen auch innerhalb von Unternehmensnetzwerken genutzt werden, die für einen Angriff attraktiv sind.
XcodeGhost zeigt, dass Cyberkriminelle halten nach potenziell lukrativen Plattformen Ausschau halten. Man kann mit Sicherheit sagen, dass iOS dank seiner Beliebtheit und dem Ruf, sichere Produkte herzustellen, ein attraktives Angriffsziel darstellt.
Was kann ich tun?
Um sicherstellen zu können, dass neue Bedrohungen auf jeglichen Plattformen gefunden und schnell beseitigt werden können, müssen Unternehmen wissen, was für risikoreiche und bösartige Apps in ihren Netzwerken laufen. Dafür zu sorgen, dass Sie bzw. Ihre Mitarbeiter Apps nur von offiziellen App Marktplätzen wie dem App Store und Google Play herunterladen, ist ein guter Anfang – auch wenn Malware sich in diese Marktplätze einschleusen kann. Diese Stores halten sich an Standards und überprüfen die Apps viel genauer als Stores von Drittanbietern. Die Tatsache, dass kein App-Store perfekt ist, betont jedoch die Notwendigkeit einer weiteren Sicherheitslösung im Unternehmensnetzwerk.
Weitere Informationen:
