Apple lässt schon wieder Mac-Malware in den App Store

Innerhalb von nur sechs Wochen hat Apple bereits das zweite Mal Mac-Malware für den App Store zugelassen. Zugegeben, die Schadsoftware der Familie OSX/MacOffers (bzw. MaxOfferDeal) war wieder einmal gut versteckt. Aber der neue Fall zeigt, wie tiefgründig Apps geprüft werden müssen, um Malware auszuschließen und den App Store so sicher zu halten, wie er eigentlich für Apple-Nutzer/innen sein soll. In diesem Beitrag findet ihr Details zum aktuellen Fall sowie einen Link zu einer detaillierten Betrachtung der Trojaner-Software für macOS.

Das trojanische Pferd aus dem App Store kann in Form eines Flash Player Installer vor den Toren eures Apple Mac stehen. Wie es die OSX/MacOffers Malware an Apple vorbei in den Store schafft, das lest ihr hier.

Das trojanische Pferd aus dem App Store kann in Form eines Flash Player Installer vor den Toren eures Apple Mac stehen. Wie es die OSX/MacOffers Malware an Apple vorbei in den Store schafft, das lest ihr hier.

Die neue OSX/MacOffers-Malware ist schwer zu erkennen

Der Mac App Store soll, genauso wie der iOS App Store, eine sichere Quelle für Software sein. Egal ob Mac, iMac, MacBook, iPhone, Apple Watch, iPad oder iPod touch – die angebotenen Apps sollen eine tolle Nutzungserfahrung bieten. Doch wie Intego an dieser Stelle aufzeigt, konnte dieses Versprechen von Apple nicht eingehalten werden. Eingeschleust wurden ein halbes Dutzend Trojaner, durch Umgehen der Prüfmechanismen an der Sicherheitsprüfung vorbei.

Wie Intego berichtet, wird die neue Schadsoftware aus der Familie OSX/MacOffers (bzw. MaxOfferDeal) nicht von VirusTotal aufgespürt. Alle sechs Disk-Image-Dateien (.dmg) sowie die Trojaner-Anwendung der ersten Stufe der Malware hatten eine Erkennungsrate von 0% bei VirusTotal, als sie zwischen dem 6. und 13. Oktober erstmals hochgeladen wurden. Mittlerweile wurde eine Probe der zweiten Stufe nur von 4 der 60 Antiviren-Engines von VirusTotal erkannt.

Manipulierte JPEG-Datei enthält Mac-Malware

Die neue Malware verwendet eine Technik namens Steganografie (geheimes Schreiben), um ihre Schadsoftware-Teile in einer separaten JPEG-Bilddatei zu verstecken. Das ist wahrscheinlich der Grund, warum die Malware den Beglaubigungsprozess von Apple durchlaufen konnte. Im aktuellen Fall beinhaltete die Anwendung auf dem Disk-Image eine JPEG-Datei, die auf den ersten Blick normal und ungefährlich ist. Jedoch enthält sie ein Base64-verschlüsseltes ZIP-Archiv, welches wiederum die eigentliche Malware enthält.

Laut Intego wurde dieses Vorgehen, also Steganografie, in der Vergangenheit schon mehrfach beobachtet. Bereits in 2011 gelangte auf diesem Weg schädliche Software in den Mac App Store – in Form von „MacDefender“-Fakes. Aber auch 2019 wurden einige Fälle dieses Vorgehens beobachtet. Das Gefährliche daran: Wenn Apple die in den App Store geladene Software zulässt, kann sie einfach über einen Doppelklick installiert bzw. gestartet werden. Anders als bei aus dem Internet geladenen Apps, bei denen teils mehrfach Warnungen und Hinweise aufploppen. 

Wie kommt OSX/MacOffers auf den Apple Mac?

Im oben verlinkten Intego-Bericht wird aufgezeigt, mit welcher Masche die Malware auf den Apple Mac geschleust wird – über einen vermeintlichen „Adobe Flash Player“-Download. Nutzer/innen laden augenscheinlich einen Flash Player Installer herunter, welcher ein Disk-Image im DMG-Format enthält. Einmal durch einen Doppelklick gestartet, wird dieses Abbild eines Speichermediums gemountet und gestartet. So wird auch die JPEG-Datei freigelegt und das darin enthaltene ZIP-Archiv entpackt.

Dabei sollte allen klar sein, dass keine seriöse Internetseite in 2020 noch den Download des Adobe Flash Players verlangt oder aktiv (durch eine Verlinkung zum App Store oder zur Adobe-Seite etwa) anbietet. Der Flash Player wird Ende des Jahres komplett eingestampft. Von einigen Webbrowsern wird er schon gar nicht mehr unterstützt. Details dazu findet ihr in diesem Beitrag von 2017: Flash Player Plugin läuft 2020 aus – Adobe verkündet „End-of-Life“. 

Meldung vom Juni 2020: Malware als Flash Installer getarnt

Weitere Details gibt’s im oben verlinkten Intego-Beitrag. Einen Test der Antivirus-Software dieses Anbieters findet ihr hier: Intego Mac Internet Security X9 im Test.

Rückfrage bei Intego – findet die Anti-Virus diesen Schädling?

Ich habe interessehalber mal bei Intego angefragt, ob ihr Programm "Mac Internet Security X9" die Malware auch gefunden hätte, wenn sie in einer Software steckt, die über den App Store installiert wird. Die Antwort kam prompt:

Hi Jens, of course we detect it as any kind of suspicious file 😉 notarized or not, we’re analyzing the file code and decide if it’s a malware or not. So Apple notarized apps are not safe from being infected by a malware. Regards, Jack

Auch wenn ich persönlich immer noch ohne Anti-Virus Software unterwegs bin, kommt einem bei solchen Meldungen manchmal der Gedanke, ob man nicht doch mal eins buchen sollte.


Wenn mein Beitrag geholfen hat und dir mein Blog unterstützenswert erscheint, würde ich mich über eine Hilfe per Steady oder Buy me a coffee sehr freuen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Alle News 1x pro Woche

Du magst die Artikel auf Sir Apfelot?
Dann trage dich in meinen wöchentlichen Newsletter ein.