Malware XcodeGhost: Mindestens 39 verseuchte iOS-Apps im App Store entdeckt

Zahlreiche verseuchte Apps haben es an den Prüfprozessen von Apple vorbei in den App Store geschafft, darunter auch beliebte Apps wie WeChat, CamCard und WinZip mit Millionen von Nutzern.

(Foto: igor / Fotolia)

Wie die Sicherheitsexperten von Palo Alto Networks melden, wurde mit »XcodeGhost« die erste Compiler-Malware für OS X entdeckt. Sie tauchte in manipulierten Versionen der »Xcode«-Entwicklungsumgebung von Apple auf, die über den Filesharing-Dienst von Baidu verbreitet wurden. Einige Entwickler nutzten die IDE, um Apps zu erstellen, in die der Schädling unbemerkt Malware-Funktionen einbaute, und reichten diese ein – erfolgreich. Denn trotz der Prüfprozesse von Apple gelangten die infizierten Anwendungen in den Store. 39 haben die Sicherheitsexperten bereits aufgespürt, darunter den populären Messenger WeChat. Dessen Anbieter Tencent hat allerdings schon eine neue Version bereitgestellt, die sauber ist.

Zu den weiteren infizierten Apps zählen Palo Alto Networks zufolge WinZip und CamCard, einer der beliebtesten Visitenkarten-Scanner in vielen Ländern. Selbst in »China Unicom Mobile Office« des größten chinesischen Mobilfunkanbieters China Unicom und in »Railway 12306«, der einzigen offiziellen App für den Kauf von Fahrkarten in China, fand sich XcodeGhost.

Palo Alto Networks zufolge sind die betroffenen Apps bei Hunderten Millionen Nutzern im Einsatz. Dem Unternehmen zufolge sammeln die infizierten Versionen Daten, um sie an Command and Control-Server im Internet zu schicken.

Die Malware habe einen »sehr interessanten Angriffspunkt erschlossen, indem sie auf Compiler zielt, die verwendet werden, um legitime Apps zu erstellen«, so die Sicherheitsexperten. »Diese Technik kann auch angepasst werden, um Unternehmens-iOS-Apps oder OS-X-Anwendungen auf viel gefährlichere Weise anzugreifen.« Entwickler sollten sich des Risikos bewusst sein und die notwendigen Sicherheitsmaßnahmen treffen.

Es ist nicht das erste Mal, dass es Malware bis in den App Store schafft: Nach Rechnung von Palo Alto Networks gab es mit LBTM, InstaStock, FindAndCall, Jekyll und FakeTor bereits fünf derartige Vorfälle.