Innerhalb von nur sechs Wochen hat Apple bereits das zweite Mal Mac-Malware für den App Store zugelassen. Zugegeben, die Schadsoftware der Familie OSX/MacOffers (bzw. MaxOfferDeal) war wieder einmal gut versteckt. Aber der neue Fall zeigt, wie tiefgründig Apps geprüft werden müssen, um Malware auszuschließen und den App Store so sicher zu halten, wie er eigentlich für Apple-Nutzer/innen sein soll. In diesem Beitrag findet ihr Details zum aktuellen Fall sowie einen Link zu einer detaillierten Betrachtung der Trojaner-Software für macOS.
Kapitel in diesem Beitrag:
Die neue OSX/MacOffers-Malware ist schwer zu erkennen
Der Mac App Store soll, genauso wie der iOS App Store, eine sichere Quelle für Software sein. Egal ob Mac, iMac, MacBook, iPhone, Apple Watch, iPad oder iPod touch – die angebotenen Apps sollen eine tolle Nutzungserfahrung bieten. Doch wie Intego an dieser Stelle aufzeigt, konnte dieses Versprechen von Apple nicht eingehalten werden. Eingeschleust wurden ein halbes Dutzend Trojaner, durch Umgehen der Prüfmechanismen an der Sicherheitsprüfung vorbei.
Wie Intego berichtet, wird die neue Schadsoftware aus der Familie OSX/MacOffers (bzw. MaxOfferDeal) nicht von VirusTotal aufgespürt. Alle sechs Disk-Image-Dateien (.dmg) sowie die Trojaner-Anwendung der ersten Stufe der Malware hatten eine Erkennungsrate von 0% bei VirusTotal, als sie zwischen dem 6. und 13. Oktober erstmals hochgeladen wurden. Mittlerweile wurde eine Probe der zweiten Stufe nur von 4 der 60 Antiviren-Engines von VirusTotal erkannt.
Manipulierte JPEG-Datei enthält Mac-Malware
Die neue Malware verwendet eine Technik namens Steganografie (geheimes Schreiben), um ihre Schadsoftware-Teile in einer separaten JPEG-Bilddatei zu verstecken. Das ist wahrscheinlich der Grund, warum die Malware den Beglaubigungsprozess von Apple durchlaufen konnte. Im aktuellen Fall beinhaltete die Anwendung auf dem Disk-Image eine JPEG-Datei, die auf den ersten Blick normal und ungefährlich ist. Jedoch enthält sie ein Base64-verschlüsseltes ZIP-Archiv, welches wiederum die eigentliche Malware enthält.
Laut Intego wurde dieses Vorgehen, also Steganografie, in der Vergangenheit schon mehrfach beobachtet. Bereits in 2011 gelangte auf diesem Weg schädliche Software in den Mac App Store – in Form von „MacDefender“-Fakes. Aber auch 2019 wurden einige Fälle dieses Vorgehens beobachtet. Das Gefährliche daran: Wenn Apple die in den App Store geladene Software zulässt, kann sie einfach über einen Doppelklick installiert bzw. gestartet werden. Anders als bei aus dem Internet geladenen Apps, bei denen teils mehrfach Warnungen und Hinweise aufploppen.
Wie kommt OSX/MacOffers auf den Apple Mac?
Im oben verlinkten Intego-Bericht wird aufgezeigt, mit welcher Masche die Malware auf den Apple Mac geschleust wird – über einen vermeintlichen „Adobe Flash Player“-Download. Nutzer/innen laden augenscheinlich einen Flash Player Installer herunter, welcher ein Disk-Image im DMG-Format enthält. Einmal durch einen Doppelklick gestartet, wird dieses Abbild eines Speichermediums gemountet und gestartet. So wird auch die JPEG-Datei freigelegt und das darin enthaltene ZIP-Archiv entpackt.
Dabei sollte allen klar sein, dass keine seriöse Internetseite in 2020 noch den Download des Adobe Flash Players verlangt oder aktiv (durch eine Verlinkung zum App Store oder zur Adobe-Seite etwa) anbietet. Der Flash Player wird Ende des Jahres komplett eingestampft. Von einigen Webbrowsern wird er schon gar nicht mehr unterstützt. Details dazu findet ihr in diesem Beitrag von 2017: Flash Player Plugin läuft 2020 aus – Adobe verkündet „End-of-Life“.
Meldung vom Juni 2020: Malware als Flash Installer getarnt
Weitere Details gibt’s im oben verlinkten Intego-Beitrag. Einen Test der Antivirus-Software dieses Anbieters findet ihr hier: Intego Mac Internet Security X9 im Test.
Rückfrage bei Intego – findet die Anti-Virus diesen Schädling?
Ich habe interessehalber mal bei Intego angefragt, ob ihr Programm „Mac Internet Security X9“ die Malware auch gefunden hätte, wenn sie in einer Software steckt, die über den App Store installiert wird. Die Antwort kam prompt:
Hi Jens, of course we detect it as any kind of suspicious file ;-) notarized or not, we’re analyzing the file code and decide if it’s a malware or not. So Apple notarized apps are not safe from being infected by a malware. Regards, Jack
Auch wenn ich persönlich immer noch ohne Anti-Virus Software unterwegs bin, kommt einem bei solchen Meldungen manchmal der Gedanke, ob man nicht doch mal eins buchen sollte.
Meine Tipps & Tricks rund um Technik & Apple
Ähnliche Beiträge
Seit 2012 betreibe ich meinen Blog als Sir Apfelot und helfe meinen Lesern bei technischen Problemen. In meiner Freizeit flitze ich auf elektrischen Einrädern, fotografiere mit meinem iPhone, klettere in den hessischen Bergen oder wandere mit meiner Familie. Meine Artikel behandeln Apple-Produkte, Drohnen-News und Lösungen für aktuelle Bugs.