M1 Malware – Neue Macs von nativer Schadsoftware betroffen

Im „Objective-See“-Blog habe ich eine Meldung gefunden, die für alle interessant sein könnte, die einen M1-Mac mit neuem Apple Silicon statt einem Intel-Prozessor nutzen. Denn für den M1-Chip scheint es nun die erste native Malware zu geben. Entsprechend lautet der mit einem Wortwitz versehene Titel des Blogbeitrags „Arm’d & Dangerous – malicious code, now native on apple silicon“. Details zum Thema habe ich euch auf Deutsch im Folgenden zusammengetragen.

Patrick Wardle vom Objective-See Blog hat sich aktiv auf die Suche nach M1 Malware begeben und ist fündig geworden. Wie er GoSearch22 gefunden hat, das lest ihr in diesem Beitrag.

Patrick Wardle vom Objective-See Blog hat sich aktiv auf die Suche nach M1 Malware begeben und ist fündig geworden. Wie er GoSearch22 gefunden hat, das lest ihr in diesem Beitrag.

Hintergründe zur M1 Malware, der Schadsoftware für neue Macs

Neue Apple-Computer laufen nicht mit einem Intel-Chip, sondern mit Apples eigenem SoC (System on a Chip). Diese Kombination aus Prozessor (CPU), Grafikprozessor (GPU), Neural Engine, Secure Enclave und dergleichen ist aktuell in der ersten Generation als M1-Chip bekannt. Er unterstützt eine sogenannte arm64 (AArch64) Instruction Set Architecture (ISA). Und genau darauf fußt nun die neue Schadsoftware, was bedeutet, dass sie explizit als arm64 Binary für macOS programmiert wurde – und damit wahrscheinlich die erste offizielle Malware für die neuen Apple-Computer darstellt.

Im Speziellen wird in dem oben bereits erwähnten Blogbeitrag von Objective-See die Malware bzw. Adware „GoSearch22“ erwähnt, die über den Mac App Store auf neue M1-Computer von Apple eingeschleust wurde. Das entsprechende Zertifikat, das Store-Apps von Apple bekommen, wurde zwar bereits entzogen und die infizierte App aus dem Angebot genommen. Aus der Recherche-Methode, die zum Auffinden von GoSearch22 genutzt wurde (s. u.), geht aber hervor, dass einige Nutzer/innen bzw. deren Computer bereits damit infiziert wurden. Damit aber nicht genug: Der Code war als Multiplattform-Lösung erstellt, kann also auch auf Intel-Macs laufen.

Wie Patrick Wardle die M1-Schadsoftware gefunden hat

Der Blogbeitrag bei Objective-See stammt von Patrick Wardle, der sich aktiv auf die Suche nach Schadsoftware gemacht hat, die speziell für das MacBook Pro, MacBook Air und den Mac Mini vom November 2020 erstellt wurde. Dafür hat er ein Tool genutzt, in dem bereits bekannte und von Antivirus-Programmen erkannte Malware katalogisiert vorliegt. Neben dem Suchfilter für mindestens zwei bisherige Meldungen hat er speziell nach 64-bit Code mit ARM-Struktur gesucht, der den Mach-O Typ nutzt. Weiterhin hat Wardle nach zertifizierter Software (tag:signed) gesucht, um Store-Apps aufzuspüren.

Insgesamt gab es 255 Treffer, aber nur, weil mit den genannten Such-Filtern natürlich auch iOS- und iPadOS-Apps in den Suchergebnissen auftauchen. Denn die Apple-eigenen SoC in den Mobilgeräten sind ja auch ARM-Chips, die auf einer 64-bit-Architektur beruhen. Nachdem also alle Mobil-Apps aussortiert wurden und sichergestellt wurde, welche Treffer für den Apple Mac gedacht sind, blieb lediglich die GoSearch22 Malware übrig. Wenn euch die gesamte Herangehensweise interessiert und ihr der englischen Sprache nicht abgeneigt seid, empfehle ich euch, den gesamten Beitrag vom 14.02.2021 im Objective-See Blog zu lesen.

Läuft auch alte Malware auf meinem neuen Mac?

Nun könnte man schnell schlussfolgern, dass es ja nur sehr wenig Malware für die neuen M1-Macs gibt (scheinbar nur eine bekannte Schadsoftware) und diese Computer daher besonders sicher sind. Das stimmt aber nicht ganz. Denn dank Rosetta 2, dem Apple-eigenen Emulator für x86_64 Apps für Intel-Chips, kann natürlich auch Code „übersetzt“ werden, der eigentlich für ältere Macs gemacht wurde. Deshalb funktionieren ja auch Apps und Tools, die nicht nativ für den Apple Silicon, sondern noch für die Intel-Architektur gemacht sind, auf den neuen Computern. Das gilt neben gutartigen Programmen ebenfalls für jene, die nichts Gutes im Sinn haben. Also bleibt wachsam ;)


Gefällt dir mein Blog? Dann würde ich mich über eine kurze Bewertung bei Google freuen. Einfach hier kurz etwas hinterlassen – das wäre toll, danke!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.