Update zu iOS Malware XcodeGhost

21.09.2015

Update: Neuartige Malware XcodeGhost infiziert 39 iOS Apps – einschließlich WeChat – und betrifft Hunderte von Millionen von Nutzern

München, den 21. September 2015 – Vergangenen Freitag veröffentlichte Palo Alto Networks einen Analysebericht über die neuartige Malware XcodeGhost, die Xcode IDE modifiziert, um Apple iOS Apps zu infizieren. Darin wurde erwähnt, dass zumindest zwei weit verbreitete iOS-Apps infiziert wurden. Palo Alto Networks geht jetzt davon aus, dass viele weitere bekannte iOS-Apps betroffen sind. Dies gilt auch für WeChat, eine der beliebtesten Instant-Messaging-Anwendungen in der Welt. Palo Alto Networks arbeitet in dieser Angelegenheit mit Apple zusammen und rät allen iOS-Entwicklern, sich des Risikos bewusst zu sein und die notwendigen Maßnahmen zu treffen.

Nach der XcodeGhost-Veröffentlichung von Palo Alto Networks haben einige Sicherheitsanbieter die beliebtesten Apps im App Store mittels Code-Analyse gescannt. Ebenso analysierten einige iOS-Entwickler verschiedene Apps mithilfe von Crowdsourcing-Techniken. Mehrere Internet-Unternehmen wie Tencent, NetEase und Jianshu haben bereits Stellungnahmen zu den jeweils betroffenen Produkten abgegeben.

Nach aktuellem Stand sind bereits 39 iOS-Apps infiziert, von denen einige in China und in anderen Ländern auf der ganzen Welt sehr verbreitet sind – bei Hunderten von Millionen Benutzern. Zu den infizierten iOS-Apps gehören Instant-Messaging-Plattformen, Banking-Anwendungen, Netzbetreiber-Apps, Aktienhandels-Apps, SNS-Apps und Spiele.

Da WeChat Version 6.2.5 infiziert ist, hat Tencent das Update 6.2.6 herausgebracht und damit den schädlichen Code entfernt. Betroffen sind ebenfalls: Didi Chuxing, von Didi Kuaidi entwickelt, die beliebteste Uber-ähnliche App in China; Railway 12306, die einzige offizielle App für den Kauf von Fahrkarten in China; die App China Unicom Mobile Office des größten Mobilfunkanbieters in China sowie Tonghuashun, eine der führenden Aktienhandels-Apps.

Einige Anwendungen sind auch in anderen Ländern im App Store verfügbar. CamCard, von einem chinesischen Unternehmen entwickelt, ist der beliebteste Business-Kartenleser und Scanner in vielen Ländern weltweit. Ebenso infiziert sind unter anderem: WinZip, PDFReader (Free), WinZip Standard, MoreLikers2, CamScanner Lite, MobileTicket, OPlayer Lite, Wallpapers10000, TinyDeal.com, PocketScanner, DataMonitor, FlappyCircle, SaveSnap, Guitar Master, WinZip Sector und Quick Save.

XcodeGhost infiziert iOS-Apps, lauert im App-Store und verändert Xcode –

München – 18. September 2015 – Palo Alto Networks gibt erste detaillierte Erkenntnisse zur neu entdeckten OS-X- und iOS-Malware namens XcodeGhost bekannt. Vor 2 Tagen berichteten erstmals chinesische iOS-Entwickler über die neuartige OS-X- und iOS-Malware auf Sina Weibo, dem größten chinesischen Mikroblogging-Dienst. Techniker der Handelsplattform Alibaba veröffentlichten daraufhin einen Analysebericht zu der Malware, die den Namen XcodeGhost erhielt. IT-Sicherheitsexperten von Palo Alto Networks untersuchte die Malware eingehender, um festzustellen, wie sie sich ausbreitet, welche Techniken sie nutzt und wie sie sich auswirkt.

XcodeGhost ist die erste Compiler Malware in OS X. Ihr Schadcode ist in einer Mach-O-Objektdatei untergebracht, die wiederum in einigen Versionen von Xcode Installer verpackt wurde. Diese bösartigen Installer wurden dann zum Cloud-File-Sharing-Dienst Baidu hochgeladen, der von iOS/OS X-Entwicklern verwendet wird. Xcode ist ein offizielles Tool von Apple für die Entwicklung von iOS- oder OS-X-Anwendungen und es ist offensichtlich, dass einige Entwickler diese Trojanerpakete heruntergeladen haben.

XcodeGhost nutzt die Xcode-Standardsuchpfade für System-Frameworks und hat erfolgreich mehrere iOS-Apps infiziert, die von infizierten Entwicklern erstellt wurden. Mindestens zwei dieser iOS-Apps wurden im App-Store platziert, bestanden Apples Code-Überprüfung und wurden zum öffentlichen Download veröffentlicht. Dies ist bereits die sechste Malware, die es bis in den offiziellen App Store geschafft hat, nach LBTM, InstaStock, FindAndCall, Jekyll und FakeTor.

Die primäre Aktivität von XcodeGhost in infizierten iOS-Apps ist es, Informationen über die Geräte zu sammeln und die Daten zu Command-and-Control-Servern (C2) hochzuladen. Die Malware hat einen sehr interessanten Angriffspunkt erschlossen, indem sie auf Compiler zielt, die verwendet werden, um legitime Apps zu erstellen. Diese Technik kann auch angepasst werden, um Unternehmens-iOS-Apps oder OS-X-Anwendungen auf viel gefährlichere Weise anzugreifen.

In China und an anderen Orten weltweit sind manchmal die Netzwerkgeschwindigkeiten sehr langsam beim Herunterladen von großen Dateien von den Apple-Servern. Da der Standard-Xcode-Installer fast 3 GB groß ist, haben sich einige chinesische Entwickler entschieden, das Paket von anderen Quellen herunterzuladen oder Kopien von Kollegen zu nutzen. Xcode-Download-Links finden sich auf mehreren Foren oder Webseiten (einschließlich Douban, SwiftMi, Cocoachina, OSChina etc.), die von den chinesischen iOS-Entwicklern häufig aufgesucht werden.

Links zum Download aller aktuellen Versionen von Xcode (6.0 bis 7.0, inklusive Beta-Versionen) führen zu Baidu Yunpan, einem Cloud-basierten Dateispeicher- und Sharing-Service. Die Forscher von Palo Alto Networks haben die Xcode Installer heruntergeladen und festgestellt, dass alle Versionen von Xcode zwischen 6.1 und 6.4 angesteckt wurden. Beim Überprüfen der Code-Signatur der Installer wird klar, dass einige zusätzliche Dateien in Xcode hinzugefügt wurden.

Compiler-Malware ist aber keine neue Idee. Beginnend mit dem ersten Proof-of-concept, vor 31 Jahren von Ken Thompson erstellt, ist Compiler Malware bereits in vielen Plattformen entdeckt worden. Im Vergleich zu anderer iOS-Malware ist das Verhalten von XcodeGhost nicht besonders signifikant oder schädlich. Aus diesem Grund konnte der Code die Überprüfung des App Store ungehindert durchlaufen.

Allerdings bietet XcodeGhost eine sehr einfache Möglichkeit, um mit Xcode erstellte Anwendungen mit Trojanern zu versehen. Angreifer können eine OS-X-Malware schreiben, die eine bösartige Objektdatei direkt in das Xcode-Verzeichnis einfügt. Hinzu kommt, dass obwohl Apples Code-Überprüfungen für App-Store-Einreichungen sehr streng sind, einige Anwendungen von Apple gar nicht überprüft werden. Wenn die iOS App von einem Unternehmen intern verwendet wird beispielsweise, wird sie inhouse verteilt werden und nimmt nicht den Weg über den App Store. Ebenso kann eine OS X App infiziert werden und viele davon werden direkt über das Internet vertrieben.

In diesen Situationen kann die Xcode-Compiler-Malware viel aggressiver und riskanter sein. Es ist schwierig für iOS-Benutzer oder -Entwickler sich vor dieser Malware – oder ähnlichen Angriffen – zu schützen, weil sie tief verborgen sind und die Code-Überprüfung für den App Store umgehen. Deshalb sollten Apple-Entwickler Xcode immer direkt von Apple herunterladen und die Integrität ihres installierten Xcode regelmäßig überprüfen, um zu verhindern, dass ihr Xcode durch andere OS-X-Malware modifiziert wurde.