Lädt Schadcode nach

Verseuchte Software in Apples App Store entdeckt

(Bild: ©prima91 - stock.adobe.com)

Obwohl Apple stets betont, wie sicher sein digitaler Software-Marktplatz im Gegensatz zur manuellen Installation von Programmen ist, haben IT-Security-Experten dort mit Schadcode verseuchte Apps entdeckt. Die Urheber sitzen in China - und schleusen die Programme mit diversen Tricks durch Apples Überprüfungsprozess.

Dies geht aus dem Bericht eines IT-Sicherheitsforschers namens „Privacy1St“ hervor, der auf der Plattform „Medium“ skizziert, wie Cyberkriminelle an Apples Prüfmechanismen vorbei Schadcode in den App Store für iPhones, iPads oder Mac-Computer schleusen. Der Bericht wurde später unter anderem vom renommierten IT-Security-Experten Patrick Wardle aufgegriffen.

Die Untersuchung von „Privacy1St“ förderte im App Store sieben Accounts zutage, die alle dem gleichen Entwickler zugeschrieben werden. Dieser ist in China ansässig - und verstößt mit seinen Anwendungen, darunter ein beliebter PDF-Betrachter, in mehrfacher Hinsicht gegen Apples Nutzungsbedingungen. Wohl wichtigstes Problem an seinen Apps: Diese sind mit einem Kommando-Server verbunden, von dem auf Befehl Schadcode nachgeladen werden kann.

Apple sieht andere Version als Anwender
Mit diesem Trick schlüpften die Apps offenbar auch durch Apples strenge Software-Prüfung: Dem App-Store-Betreiber wurde schlicht eine andere Version der Anwendung gezeigt als jene, die dann tatsächlich beim Kunden landet. Dass nachträglich Code nachgeladen werden kann, erlaubt es den Entwicklern, ihre Anwendung nachträglich komplett umzugestalten - zum Beispiel zur Spyware. Die Aktivitäten der verseuchten Apps werden gut getarnt: Der ausgehende Datenverkehr wird über unverdächtig wirkende Webhoster wie Godaddy oder Cloudflare geleitet.

Die verseuchten Anwendungen wurden von den verschiedenen Konten teils mit unterschiedlichen Namen vermarktet, damit der Schadcode maximale Verbreitung findet. Ein Programm wird in dem Report besonders hervorgehoben: Es handelt sich um einen „PDF Reader“, der im US-amerikanischen Mac App Store zu den meistheruntergeladenen Apps zählte. Dieser jubelte den Nutzern nach dem Download dubiose Abo-Dienste unter.

Urheber schrieben positive Fake-Bewertungen
Für den Nutzer sind die wahren Absichten der Anwendung nur schwer erkennbar: Die chinesischen Urheber begleiteten ihre Malware-Kampagne laut dem IT-Security-Blog „Dark Reading“ mit zahlreichen Fake-Bewertungen, die ihrer Software im App Store einen seriösen Anstrich verpassen sollten. Mittlerweile hat Apple sowohl die Fake-Bewertungen als auch einige der entdeckten Anwendungen aus dem App Store gelöscht.

Apple betont regelmäßig, wie sicher die Software-Vermarktung über den App Store im Vergleich zur klassischen Installationsdatei aus dem Internet sei. Im Juli berichtete „9to5Mac“, dass der US-Konzern allein 2021 betrügerische Transaktionen im Wert von fast 1,5 Milliarden US-Dollar verhindert hätte. Die jüngste Entdeckung - nicht der erste Fund im App Store - lehrt aber, dass selbst die besten Sicherheitsvorkehrungen unterwandert werden können. Eine Erkenntnis, die für alle digitalen Software-Marktplätze gilt.