Anzeige

iOS-Entwickler

Quelle: Konstantin Savusia / Shutterstock.com

Die Sicherheitsforscher von SentinelLabs haben einen Trojaner entdeckt, der gezielt iOS-Entwickler ins Visier nimmt. Das Schadprogramm ist eine manipulierte Version von Xcode, eines legitimen, auf GitHub verfügbaren Open-Source-Projekts.

Es bietet iOS-Entwicklern normalerweise mehrere erweiterte Funktionen zur Animation der iOS-Tab-Leiste auf Basis von Benutzerinteraktionen. Die XcodeSpy-Version wurde jedoch auf subtile Weise verändert, um ein verschleiertes Run-Skript auszuführen, wenn das Build-Ziel des Entwicklers gestartet wird. Das Skript kontaktiert das C2 der Angreifer und legt eine angepasste Variante der EggShell-Backdoor auf dem Entwicklungsrechner ab. Die Malware installiert einen Benutzer-LaunchAgent und ist in der Lage, Informationen vom Mikrofon, der Kamera und der Tastatur des Opfers aufzuzeichnen. 

Gefahr für Apple-Entwickler

Die SentinelLabs-Forscher haben zwei Varianten der Payload entdeckt. Es handelt sich um benutzerdefinierte Backdoors, die eine Reihe von verschlüsselten C2-URLs und verschlüsselte Zeichenfolgen für verschiedene Dateipfade enthalten. Insbesondere eine dieser Zeichenfolgen wird von dem manipulierten Xcode-Projekt und den benutzerdefinierten Backdoors gemeinsam genutzt, wodurch sie als Teil derselben XcodeSpy-Kampagne miteinander verbunden sind. Die Forscher konnten eine erfolgreiche Ausführung der Malware-Kampagne bei einem US-amerikanischen Unternehmen beobachten. Dort war die Schadsoftware mindestens zwischen Juli und Oktober 2020 in Betrieb und hatte möglicherweise auch Entwickler in Asien zum Ziel. Die Zeitleiste aus bekannten Samples und weitere Indikatoren zur Malware deuten darauf hin, dass auch weitere XcodeSpy-Projekte existieren könnten.

Software-Entwickler ins Visier zu nehmen, ist der erste Schritt zu einem erfolgreichen Angriff auf die Lieferkette von Unternehmen. Dazu werden oft genau die Entwicklungswerkzeuge missbraucht, die für die Durchführung dieser Arbeit erforderlich sind. Die einfache Technik zum Verstecken und Starten eines bösartigen Skripts, die von XcodeSpy verwendet wird, könnte in jedem freigegebenen Xcode-Projekt eingesetzt werden. Daher werden alle iOS-Entwickler gewarnt, bei der Übernahme von Xcode-Projekten von Drittanbietern die Dateien auf das Vorhandensein bösartiger Run-Scripts zu prüfen. Es empfiehlt sich außerdem, einen starken Endpunktschutz in Verwendung zu haben. Kunden von SentinelOne sind durch die Singularity-Plattform vor XcodeSpy geschützt.

https://labs.sentinelone.com/


Artikel zu diesem Thema

Malware
Mär 18, 2021

NimzaLoader: Neue Malware öffnet Hintertür zu Windows-Computern

Kaum eine Woche vergeht, in der nicht mindestens eine neue Malware entdeckt wird. Es ist…

Weitere Artikel

Internet

Womit die Deutschen im Internet surfen

Chrome ist der meistgenutzte Internetbrowser der Deutschen. Laut aktuellen Daten des Web-Traffic-Analyse-Tools StatCounter hat der Marktanteil von Chrome in Deutschland im März 2021 rund 46 Prozent betragen.
Cyberattack

Schul-Cloud des HPI durch Cyberangriffe lahmgelegt

Die Lernplattform Schul-Cloud des Hasso-Plattner-Institus (HPI) ist mit Cyberangriffen lahmgelegt worden.
Hacker

Die Schweizerische Post startet öffentliches Bug-Bounty-Programm mit YesWeHack

YesWeHack, Europas Crowdsourced-Security-Plattform, verkündet den Start eines öffentlichen Bug-Bounty-Programms für die Schweizerische Post.
B2B

Wie lassen sich B2B-Webshops an ERP-Systeme anbinden?

Der E-Commerce ist im B2B-Bereich nicht mehr wegzudenken, hat er doch gerade im letzten Jahr, durch den Corona-bedingten Digitalisierungsschub, enormen Aufschwung erfahren.
Security Lock

Bundeswirtschaftsministerium: TISiM stärkt sichere Digitalisierung in Mittelstand und Handwerk

TISiM – die Transferstelle IT-Sicherheit im Mittelstand gibt nach erfolgreicher Pilot-Phase, den Launch des Sec-O-Mats bekannt. Das Tool bündelt Handlungsempfehlungen aus einem breiten Spektrum an bestehenden Initiativen und Angeboten für kleine und mittlere…
Google Earth

Google Earth-Update - Timelapse zeigt Umweltveränderungen

Seit nunmehr als 15 Jahren können Nutzerinnen und Nutzer mit Google Earth auf virtuelle Weltreisen gehen und unseren Planeten aus unzähligen Perspektiven betrachten.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.