Malware im Apple App Store: Schon 344 Apps durch XcodeGhost infiziert

App Store als Malware Schleuder

In der Vergangenheit waren vor allem Apps mit Malware verseucht, die aus dem alternativen App-Bezugspunkt Cydia auf iPhones mit Jailbreak geladen wurden. Nun ist aber auch eine große Zahl von Programmen aus dem offiziellen App Store mit einer bösartigen Software behaftet. „XcodeGhost“ heißt die neue Bedrohung – und sie kommt im Mantel einer Entwickler-Software daher.

iPhone und iPad Apps mit großer Nutzerzahl betroffen

Eine der auf vielen Geräten befindlichen und infizierten Apps hat laut App Store mehr als 500 Millionen Nutzer auf der ganzen Welt: der Messenger WeChat. Allerdings hat der Entwickler des Chat-Programms Tencent bereits mitgeteilt, dass die infizierte Software entfernt und durch ein sicheres Pendant ersetzt wurde.

App Store als Malware Schleuder
Der Apple App Store fungierte für die Hacker als Verteiler der Malware XcodeGhost, Eingeschleust wurde die Malware in die Apps jedoch über eine manipulierte Xcode-Version (Grafik: Sir Apfelot).

Die kalifornische Sicherheitsfirma Palo Alto Networks, welche auch bei Apple aktiv ist und dort schon einige Sicherheitslücken und Gefahren aufgezeigt hat, gibt die Zahl der im Apple App Store befindlichen, infizierten Apps mit “mindestens 39” an. Das Unternehmen Qihoo360 Technology aus China hingegen berichtet von 344 betroffenen Programmen.

Was macht die Schadsoftware auf dem Apple Smartphone?

Es handelt sich bei der Malware um ein Spionage-Programm, das die Informationen des Geräts ausliest und an einen zentralen Server überträgt. Zudem ist die Software in der Lage, auf die Zwischenablage zuzugreifen, sie auszulesen und zu verändern. Auch URLs können von ihr geöffnet werden. Zu allem Überfluss bringt die Malware Dialogfenster auf den Display, welche Passwörter und ähnlich vertrauliche sowie sicherheitsrelevante Daten abfragen. Hier sollte man als User also vorsichtig sein, ob solche Abfragen vielleicht zu Zeitpunkten kommen, die eigentlich nichts mit einer Installation oder ähnlichem zu tun haben.

So gelangte die Schadsoftware in die App-Store-Apps

Xcode Malware XcodeGhost
Xcode Malware: Durch eine manipulierte Xcode-Version haben die Hacker jede Menge Apps hinter dem Rücken der App-Entwickler mit der Malware XcodeGhost infiziert (Grafik: Sir Apfelot).

Die neue Methode, die angewendet wurde, um Apps mit Schadsoftware auszustatten, ist so genial wie bedrohlich: Denn die Hersteller der Programme für das iOS-System bekamen von den kriminellen Subjekten hinter dem Angriff eine modifizierte Version der Software Xcode, welche als Entwicklungstool genutzt wird. Diese abgeänderte Version sorgt dafür, dass die inkludierte Malware automatisch in die entwickelten Apps wandert.

Xcode ist ein Entwicklertool, das Apple gratis zur Verfügung stellt. Scheinbar haben die Hacker eine geänderte Version auf einem chinesischen Server zum Download bereit gestellt, die dann von Programmierern genutzt wurde, weil der Download auf der Apple-eigenen Webseite zu lange gedauert hat. Gerade bei großen Releases passiert dies, weil dann weltweit viele Programmierer ihre Software updaten und dann ggfs. nach einer alternativen Downloadquelle suchen.

Augenscheinlicher Infektionsgrund: Ungeduld beim Download von Xcode

Zu den Entwicklern von Apps gehören nicht nur große Unternehmen, die viel Wert auf Sicherheit und klare B2B-Wege legen. Oftmals sind es auch kleine Start-Up-Projekte, die schnell eine Idee umsetzen und damit der Erste auf dem Markt sein wollen. Dies führte eben jene Entwickler dazu, das Programm Xcode kostenfrei von den Apple-Servern laden zu wollten, was ziemlich lange dauern kann. Die Alternative: Xcode aus der Cloud eines chinesischen Anbieters (Baidu) laden. Das geht wesentlich schneller, scheint nun aber auch zur modifizierten Version XcodeGhost geführt zu haben.

Vorsicht bei diesen Apps: Weitere betroffene Apps!

Neben der WeChat-App, die vor allem in China beliebt ist, wo augenscheinlich auch die bösartige Entwicklersoftware herkommt, sind auch noch viele weitere Apps außerhalb des Messenger-Kosmos‘ betroffen. Beispielsweise CamCard, ein Scanner für Visitenkarten, oder Didi Chuxing, eine Taxi-App. Bekanntere Apps, die ebenfalls betroffen sind, heißen WinZip, PDFReader und OPlayer.

Wie schützt man sich als iPhone User vor XcodeGhost?

Eigentlich ist der Schutz durch Apple schon recht gut. Apple wird jetzt vermutlich schnell reagieren und die infizierten Apps aus dem AppStore entfernen. In wenigen Tagen wird es dann sicher die Updates für die infizierten Programme geben, so dass die “bösen” Versionen dieser Apps überschrieben werden.

Wer bis dahin auf Nummer sicher gehen möchte, der schaut mal seine Apps nach den oben genannten Namen durch und löscht diese manuell. Zudem würde ich derzeit mal eine oder zwei Wochen vergehen lassen, bevor ich neue Apps von kleineren Entwicklerstudios installiere. Bei AngryBirds und ähnlich großen Apps dürfte die Gefahr einer Infektion recht gering sein, da diese Studios sicher keine Xcode-Version aus einer chinesischen Cloud laden, aber gerade kleinere Entwickler sind eventuell auf diesen Hack hereingefallen.

In zwei Wochen dürfte aber zum einen Apple einen Malware-Check installiert haben, der alle Apps im Appstore durchprüft und zum anderen dürften die betroffenen Entwickler dann neue, “saubere” Versionen ihrer Apps bereitgestellt haben.

Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft unterstützen würdest.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Sir Apfelot Blog findest du Ratgeber, Anleitungen und Testberichte zu Apple Produkten wie iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini und Mac Studio.

Specials