Schadsoftware für Mac im Überblick
Jeder kennt die Schlagworte wie Virus, Trojaner und Antivirensoftware (einen Überblick gibt es hier), doch viele Apple-NutzerInnen sind nach wie vor davon überzeugt, dass sie keine Viren zu befürchten haben. Warum diese Aussage teilweise stimmt, aber Malware für Mac dennoch existiert, zeigt dieser Report – mit einem Überblick, welche Schadsoftware für Mac jemals im Umlauf war.
Die Zeiten von Mac OS 9 sind vorbei, das aktuellste Betriebssystem heißt Mac OS X und ist mittlerweile schon eine ganze Weile auf dem Markt. Daher konzentriert sich diese Reportage auf jene Malware, die von 2004 bis heute aufgetreten ist.
2004: Aller Anfang ist schwer
MW2004 war ein Trojaner für Microsoft Word 2004, das heißt, die Malware gab sich als Installationspaket für Word 2004 aus. Allerdings löschte es bei Benutzung den Home-Folder des eingeloggten Users. Die Krönung dabei: Die Software bzw. dieser Trojaner wurde über Tauschbörsen weiterverbreitet, wenn man also zuvor auf halblegalen Seiten unterwegs war und dann auch noch dem Installationspaket das Administratorkennwort eingab.
Renepo oder Opener war ein Skript, das von jemandem mit Root-Privilegien (also einem Administrator) mit voller Absicht installiert wurde. Hiermit wurde ein Backdoor für Attacken geschaffen, die Lücke ist aber schon längst geschlossen.
2005: Wenn es keine gibt, erfinden wir eine
Cowhand wurde vom Antivirenhersteller Sophos äußerst vage als Malware beschrieben, allerdings gibt es keine näheren Angaben hierzu. Berichte meinen, dass Sophos für den Report ein Trojanerkonzept benutzte, das niemals verbreitet wurde. Es sollte nicht der einzige Fall von erfundener Malware für Mac OS X bleiben.
2006: Viren als Konzept, nie im Umlauf
Eine Schwachstelle im Safari-Browser wurde für den Exploit.OSX.Safari oder OSX.Exploit.Metadata ausgenutzt. Wenige Tage später wurde diese Lücke mit dem Sicherheitsupdate 2006-001 geschlossen.
Leap oder Oompa Loompa war ein klassischer Trojaner. Die Malware tarnte sich als Bilddatei und versuchte, sich über den mittlerweile eingestellten iChat-Dienst zu verbreiten. Bonuspunkt: Wenn jemand die Bilddatei öffnen wollte, erschien sogar ein Hinweis, dass es gar keine Bilddatei ist.
Inqtana war ein Konzeptvirus, der es nie in die Wildnis schaffte. Mac OS X schloss die Lücke, bevor das Konzept Realität wurde.
Genauso erging es OSX.Exploit.Launchd, einem Konzeptvirus, der nur bis Mac OS X 10.4.6 funktionierte.
Mitmachen beim Macarena – ein weiterer Konzeptvirus, der aus Quellcode und Instruktionen zum Kompilieren (Umwandeln in eine ausführbare Datei) bestand. NutzerInnen mussten diese genauestens befolgen und auch in vollem Bewusstsein, dabei infiziert zu werden, ausführen. Macarena kopierte sich nur selbst als Demonstration, dass auch unter Mac OS X so etwas möglich sein kann; eine Verbreitung fand allerdings nie statt.
2007: Denken, bevor man Hand anlegt
Die Malware mit den Namen RSPlug oder DNSChanger oder Jahlav oder Puper war ein Trojaner, der ausschließlich auf Porno-Websites auftauchte. Er erstellte die Meldung, dass ein Video-Codec heruntergeladen werden müsse, und ihr ahnt es bereits: Es war gar kein Video-Ccodec, sondern installierte eine Router-Umleitung. Diese leitete diverse Internetanfragen wie eBay, Bankseiten und dergleichen auf Phishing-Server um, damit Passwörter abgefangen werden konnten. Ab Mac OS X 10.6 geht von dieser Malware keine Gefahr mehr aus.
2008: Lesen und verstehen
MacSweeper aka Immunizator war die erste Applikation, die sich als Antivirensoftware ausgab. Nur NutzerInnen, die sich dieses Programm mit Administratorkennwort installierten, waren davon betroffen. MacSweeper gab vor, dass der Rechner von Viren befallen sei und öffnete ein paar anstößige Seiten, um dies zu „beweisen“. Wer mittels Kreditkartenzahlung auf die kostenpflichtige Vollversion umstieg, wurde fortan verschont. Von F-Secure entdeckt und analysiert.
AsTHT/Hovdy/AplS.Saprilt war ein Apple-Script, das eine Lücke in einem Dienstprogramm ausnutzte und so Zugang zum Rechner erleichterte. Dieses Script wurde wenige Tage später mit dem Sicherheitsupdate 2008-005 unschädlich gemacht.
Aus der Kategorie „man kann’s ja mal versuchen“ stammt PokerStealer bzw. Corpref: Es gab vor, ein Pokerspiel zu sein, und fragte nach dem Administratorkennwort. Der Clou dabei: Das Pop-up sah nicht so aus wie ein standardisiertes Fenster von OS X – der Trojaner versteckte es also nicht mal besonders gut.
Lamzev aka Malev war ein Crackertool, das allerdings nur dann funktionierte, wenn die angreifende Person schon den Computer in ihrer Gewalt hatte. Der Crack ist längst unschädlich gemacht – und hat jemand physischen Zugriff auf eure Maschine, kann nur noch ein Firmware-Passwort in Verbindung mit einer FileVault 2-Verschlüsselung helfen, sonst sind eure Daten so gut wie verloren.
2009: Erste Gehversuche
Sehr gemein: Als Raubkopie der iWork-Suite verkleidet griff die Malware iWorkServices/iServices/Krowi über Peer-to-Peer-Netzwerke an. Wurde ein Computer befallen, konnte sich die Malware selbständig aktivieren und so einfache Befehle im Internet ausführen. Dieser Trojaner wurde allerdings mit dem Erscheinen von Mac OS X 10.6 harmlos.
Fast schon ein Virus, aber nur fast: Die Malware Tored imitierte das Verhalten eines typischen Virus, indem es sich automatisch zu ausgehenden Mails als Anhang hinterlegte. Aufmerksame NutzerInnen konnten das ausgehende Mail selbst noch stoppen, den Anhang entfernen und erneut ohne Anhang senden. SicherheitsexpertInnen nannten Tored lahm.
2010: Java stellt sich vor
Die Strafe für Raubkopien nennt sich HellRTS/Pinhead/Hellraiser. Dieser Trojaner gab sich nämlich als Raubkopie-Installer von iPhoto aus und befiel all jene, die versucht hatten, eine Raubkopie von iPhoto zu ziehen. Habt ihr also nichts mit Raubkopien am Hut, seht ihr diesen Trojaner niemals, und habt ihr eine OS X-Version über 10.6.4, seid ihr ebenfalls geschützt.
OpinionSpy, auch Premier Opinion oder Spynion (toller Name!) wurde von Intego als Spyware identifiziert. Ein weiterer Trojaner, der sich in einer Bildschirmschonerkollektion von 7art versteckte, dies allerdings nicht besonders gut: Die Spyware muss installiert werden, sagt euch, dass personenbezogene Daten gesammelt werden, ihr müsst ein Häkchen setzen und das Admin-Kennwort eingeben. Ihr seid davor durch die Mac-eigenen Sicherheitsvorkehrungen geschützt.
Das gute alte Java ist schon lang als Sicherheitsdesaster bekannt, und so nutzte es auch die Malware Koobface alias Boonana. Im Browserfenster eurer Wahl ploppte ein Fenster auf mit der Frage „Is this you in this video?“, und ihr musstet erstens diese Frage mit einem Klick beantworten und darüber hinaus auch einem Applet erlauben, dass es auf euren Computer zugreift. Diese Malware ist dank Java-Updates nicht mehr existent.
2011: Spiel mit Unwissenheit und Angst
Ein sehr ausgeklügeltes Malware-Beispiel ist BlackHole RAT, auch MusMinim oder DarkHole genannt. Befallene Websites (wieder einmal eine Sache von RaubkopiererInnen) nutzen diverse Sicherheitslöcher, um den Mac zu befallen – allerdings sind die Schwachstellen für BlackHole längst geschlossen.
Der gemeinste Trojaner für Mac allerdings ist die Malware mit den vielen Namen MacDefender, Mac Security, MacProtector, MacGuard, Defma oder MacShield. Die Infektion beginnt auf gefälschten Antivirus-Websites und deren Plug-ins, die den NutzerInnen vortäuschen, dass Viren auf dem Mac gefunden wurden (ein Pop-up oder eine wild blinkende Werbung reichen hierbei). Interessierte klicken darauf und landen auf einer Downloadseite, die euch ermöglicht, MacDefender herunterzuladen. Nach einer Installation, die unter anderem auch das Administratorkennwort erfordert, beginnt der Trojaner, immer wieder eine Pornoseite zu öffnen, um zu „beweisen“, dass der Mac tatsächlich befallen ist. Ein Upgrade auf die kostenpflichtige Variante „entfernt“ den Virus, und die Pornoseiten erscheinen nicht mehr. Hier wird klar mit dem Unwissen der NutzerInnen gespielt, und darauf fielen gar nicht so wenige herein.
QHost oder HostMod-A wurde von F-Secure entdeckt – der Trojaner maskiert sich als Flash-Player-Installationsdatei. Natürlich wird keine aktuelle Version von Flash installiert, sondern eine Vielzahl an Veränderungen im System vorgenommen, nachdem ihr das Admin-Kennwort eingegeben habt. Mittlerweile ist diese Malware aber nicht mehr funktionstüchtig.
Ebenfalls von F-Secure aufgedeckt wurde Revir alias Imuler und Muxler. Eine Datei gibt sich als PDF-Datei aus und versucht, im Hintergrund eine bösartige Installation vorzunehmen, die dann mit einem Server im Internet Kontakt aufnehmen möchte. Allerdings wurden die internen Sicherheitsparameter bereits angepasst, und diese Malware funktioniert nicht mehr.
Die Malware Flashback bekam viel Aufmerksamkeit der Medien, da es der erste Trojaner war, der eine Vielzahl von Macs befallen konnte (über 600.000 zur Spitzenzeit). Flashback gab sich als Adobe-Flash-Downloader aus, installierte aber naturgemäß kein Flash darauf. Dafür wurde der befallene Rechner dann zu Botnet-Zwecken benutzt. Apple reagierte mit einem Flashback-Removal-Tool, und auch Adobe schob ein Update nach. Binnen weniger Wochen war Flashback keine Gefahr mehr.
DevilRobber oder Miner-D wurde von Intego entdeckt. Das Unternehmen berichtete, dass RaubkopiererInnen der Gefahr von Malware ausgesetzt seien. Ziel des Trojaners war wie üblich die Integration in ein Botnetz sowie kleinere Überwachungsaktionen, doch mit den Mac-OS-X-Updates kam auch die Sicherheit, dass diese Malware nicht mehr funktionsfähig ist. Habt ihr nie eine Raubkopie aus dem Internet gezogen, konntet ihr auch niemals in den Dunstkreis dieses Trojaners kommen.
2012: Das Jahr der spezifischen Attacken
Ein sehr spezifischer Malware-Zweig war FileSteal, HackBack oder auch KitM genannt. Dieser Trojaner wurde für einzelne Ziele zugeschnitten und lud einzelne Dateitypen auf einen Server hoch, eine neuere Version schoss Bildschirmfotos und lud diese hoch. XProtect hat diese Malware in den Definitionen erkannt, und sie ist somit nicht mehr aktiv.
Wieder einmal ist Java schuld daran, dass Tibet oder MacControl überhaupt erst funktionierte. Das Ziel waren tibetanische AktivistInnen (ihr seht schon, eine große Zielgruppe), und wenn ihr Tibet-FanatikerInnen entweder Java auf dem neuesten Stand, deaktiviert oder eine Mac-OS-X-Version ab 10.6 installiert habt, seid ihr davor sicher.
Auch Sabpab schlägt in dieselbe Kerbe und hat sich wieder auf TibetanerInnen spezialisiert. (Mal ernsthaft, was haben die verbrochen?) Diese Malware verbreitete sich nicht nur über Java, sondern auch über veraltete Versionen von Microsoft Office.
FkCodec und Maljava sind beides Trojaner, die euch vorgaukeln, dass eure Video-Codecs respektive Java-Installationen veraltet seien. Es werden nach dem Eingeben des Admin-Kennwortes Rechte geändert und Dienste aktiviert, doch nur Symantec hat darüber berichtet. Mittlerweile sind beide Trojaner nicht mehr funktionstüchtig.
GetShell oder ShellCode nutzte Java, um auf den Rechner zu gelangen. Allerdings ist diese Malware schon Geschichte – auch, wenn ihr Java im Browser aktiviert lasst.
Anscheinend von Regierungsebenen stammend ist die Malware Crisis, Morcut oder DaVinci, die sich ebenfalls an Sicherheitslücken in Java bedient. Diese Malware war speziell für marokkanische JournalistInnen gedacht, und neueste Updates verhindern auch die Ausführung von Crisis.
NetWired oder Wirenet ist ein Remote-Access-Kit und ziemlich stümperhaft zusammengeschustert. Auch dieser Trojaner ist mittlerweile nicht mehr im Umlauf beziehungsweise dank diverser Updates wirkungslos.
Eine weitere Java-Malware ist Jacksbot, die sich als bösartiger Minecraft-Mod ausgab. Eine Java-Schwachstelle war dafür notwendig, die bereits behoben ist, und ihr Ziel war eindeutig: Minecraft-Passwörter stehlen.
So wie viele andere Malware-Varianten bediente sich auch Dockster an einer Java-Schwachstelle. Diese Malware wurde nur auf einer Website gesichtet, die vom Dalai Lama handelte (wieder dieses Tibet!).
Ein Fake-Installer ist SMSSend, dieser fragt während der Installation (mit Admin-Kennwort) nach einer Telefonnummer. Später wird dann dieser Nummer eine Belastung via Handy-Rechnung zugesandt – allerdings lässt sich SMSSend bereits nicht mehr installieren.
2013: Alles wird versucht
Pintsized klingt zwar nett, allerdings wird hier eine Java-Schwachstelle (die nicht mehr existiert) ausgenutzt und angreifenden Parteien ein Backdoor-Zugang auf Macs verschafft. Diese Malware wurde für sehr spezifische Ziele verwendet.
Wieder mal die tibetanischen AktivistInnen: CallMe ist ein Trojaner, der sich durch bösartige Microsoft-Word-Dokumente installierte. Die Schwachstelle in Office wurde bereits im Juni 2009 behoben, es ist also höchst unwahrscheinlich, dass ihr noch eine verwundbare Version in Verwendung habt. Noch unwahrscheinlicher ist es, diese Malware zu bekommen.
Das gute alte Social Engineering wurde durch Minesteal betrieben: Der Trojaner gaukelte GamerInnen vor, ihnen in Minecraft weitere Kräfte und Möglichkeiten freizuschalten – in Wahrheit jedoch hat Minesteal die Passwörter gestohlen. Minesteal trifft ausschließlich Minecraft-SpielerInnen, und auch nur jene, die diesen Trojaner auch herunterladen und installieren.
Die Malware namens KitM schaffte es tatsächlich durch Gatekeeper, eine neue Sicherheitsmaßnahme, in Mac OS X 10.8, indem das Programm eine gültige Code-Signatur auf Entwicklerebene vorweisen konnte. KitM schoss regelmäßig Screenshots und lud diese auf einen Server hoch. Allerdings wurde dieser Code schnell von Apple selbst aufgehoben, und daher ist eine Infektion von dieser Malware auf keinem Mac mehr möglich.
Auch Janicab benutzte einen gültigen Entwickleraccount, um genau wie KitM Screenshots aufzunehmen und auf einen Server hochzuladen. Interessant hierbei: Apple benötigte nicht einmal 24 Stunden, um die Malware zu entdecken, entzog der Signatur die Gültigkeit, und auch diese Malware kann nicht mehr auftreten, da alle Macs täglich mit den neuen Signaturtabellen versorgt werden.
ClickAgent ist eine bösartige Safari-Erweiterung, die vorgab, ein Flash Player zu sein. In Wahrheit schob das Programm unerwünschte Werbungseinblendungen (ja, auch pornografische Werbung) ein, sobald der ClickAgent aktiviert wurde.
Ein Trojaner, der sich als Bilddatei ausgab, war Leverage. Es ist nach wie vor unbekannt, was diese Malware eigentlich tut, bekannt ist jedoch, dass AnhängerInnen der syrischen Armee die Zielgruppe dafür sind. Alle aktuell gehaltenen Macs werden davor mit XProtect und Gatekeeper geschützt.
Icefog ist eine Malware, die sowohl Mac- als auch Windows-Computer befallen konnte. Icefog versuchte, eine Backdoor-Verbindung zu einem Server aufzubauen und den PC somit zu einem Teil eines Botnetzes zu machen. Diese Malware war vorrangig in Japan und Südkorea aufzufinden, Gatekeeper und XProtect wurden allerdings schon im Oktober 2013 aktualisiert. Somit stellt diese Malware keine Bedrohung mehr dar.
2014: Nichts installieren, was man nicht kennt
Ein Trojaner namens LaoShu verteilte sich, indem gefälschte E-Mails mit Zustellbestätigungen versendet wurden. Hat man erst auf einen Link geklickt, wird eine PDF-Datei heruntergeladen, die geöffnet und installiert wird. Dann wird das System infiziert und eine Verbindung mit einem Server aufgebaut.
Die Malware namens CoinThief trägt schon alles in seinem Namen, was Bitcoin-AnhängerInnen den kalten Schweiß auf die Stirn treibt: Sie hat den NutzerInnen die Bitcoins gestohlen. Besonders fies: CoinThief gab sich als Bitcoin-Bezahlungs-App aus.
XSLCmd ist eine Linux-Malware, die auf OS X portiert wurde. Allerdings sind keine Programme oder Wege bekannt, wie man sich mit XSLCmd infizieren könnte. Diese Malware ist nicht verbreitet und wird nur gegen ganz spezifische Einzelziele verwendet. Diese Malware wurde von FireEye Labs gesichtet.
Ein klassischer Wurm namens iWorm machte ebenfalls die Runde, Reports berichteten von knapp 17.000 befallenen IP-Adressen. iWorm kann man sich nur einfangen, indem man illegale Downloads von Adobe Photoshop, Microsoft Office oder etwa Parallels Desktop über PirateBay vornimmt. Gatekeeper warnt sogar davor, dass der Entwickler nicht identifiziert ist, was bei offiziellen Versionen nie der Fall sein kann.
Ventir ist eine aktuelle Malware, die in etwa einem Trojaner gleichkommt. Anstatt aber DurchschnittsuserInnen vorzugaukeln, dass Ventir nützliche Software sei, muss man die Software im Terminal aufrufen. Das heißt, Ventir ist bloß Malware, die einer angreifenden Partei hilft, die ohnehin schon physischen Zugriff auf euren Computer hat.
WireLurker oder Machook trat in 467 illegal heruntergeladenen Apps auf, die in Chinas Maiyadi App Store (nicht der offizielle App Store, ihr habt es schon erraten) zu finden sind. Es wird vermutet, dass die Malware versucht hat, chinesische Softwarepiraten aufzustöbern und zu identifizieren. XProtect und Gatekeeper wurden bereits aktualisiert, und WireLurker stellt somit keine Bedrohung mehr dar.
2015: Mac OS X ist sicher. Punkt.
OpinionSpy, auch Premier Opinion oder Spynion, wurde wie erwähnt schon 2010 von Intego als Spyware, die eure persönlichen Daten abgreifen wollte, identifiziert. Diesmal hat sich CNET mit Ruhm bekleckert, denn ihre Download.com-Seite vertreibt eine neue Variante von OpinionSpy. XProtect wurde allerdings bereits aktualisiert, und die Software lässt sich nicht mehr installieren.
Die letzte bekannte Schwachstelle für Macs (aber auch Windows-Computer, Android- und iOS-Geräte) ist die FREAK-Schwachstelle. Versucht ein Computer, eine mit SSL-Verschlüsselung geschützte Seite aufzurufen, kann eine angreifende Partei den Schlüssel auf 512-bit-Verschlüsselung abschwächen, der sich im Vergleich zu 1024- oder 2048-bit-Verschlüsselung relativ einfach knacken lässt. iOS 8.2, Mac OS X 10.8.5 und neuer sind bereits vor dieser Schwäche geschützt.
Was bleibt also von dieser definitiven Malware-Liste mit Stand 25.3.2015? Mac-UserInnen, die davon sprechen, dass sie keinen Virus erhalten können, werden nach wie vor in ihrer Behauptung bestätigt: Einen funktionierenden Virus per Definition gibt es bis dato nicht für Mac OS X. Bei Malware jedoch wie Trojanern oder Phishing-Versuchen macht niemand vor dem Mac halt, das zeigt der obige Bericht mit seinen 50 Malware-Arten. Mehr gab es bis heute nicht. Sowohl auf Windows als auch auf Linux oder Mac kann die Devise nur heißen: updaten, was das Zeug hält. Günstiger als gratis geht es nicht, und sich durch eine faule Updatepolitik in Zeiten von automatischen Updates verwundbar zu machen ist schlichtweg dumm.