10 Jahre Mac OS X Malware

Bevor wir anfangen, muss zunächst klargestellt werden, dass das Malware-Problem bei Mac OS X im Vergleich zu Windows nicht besonders ausgeprägt ist.

Täglich werden ca. 200.000 neue Varianten von Windows-Malware entdeckt, in der Mac-Welt lassen sich weit weniger schädliche Codes beobachten. Dennoch kann man nicht abstreiten, dass sie existieren und iMacs oder MacBooks jederzeit infizieren können.

Sollten Sie jemals zu den Unglücklichen gehören, deren Apple-Computer einem Angriff zum Opfer fällt, werden Sie sich auch nicht besser fühlen als einer Ihrer Bekannten mit einem PC, der sich gerade mit einem Backdoortrojaner oder einer schädlichen Browser-Toolbar herumschlägt.

Apple IIMan sollte sich zudem stets bewusst machen, dass Mac-Malware kein neues Phänomen ist.

Betrachtet man ältere Geräte von Apple, kann man die erste Malware sogar auf 1982 zurückdatieren, wo Rich Skrenta einen Wurm namens „Elk Cloner“ programmierte, der Apple II Geräte infizieren sollte.

Abgesehen von Historikern sind Bedrohungen für Apple II, Mac OS 9 oder frühere Versionen aber für kaum jemanden relevant.

Moderne Mac-Nutzer interessieren sich viel mehr für Bedrohungen, die auf Mac OS X abzielen. Bei genauerer Betrachtung stellt sich heraus, dass 2014 das zehnjährige Malware-Jubiläum für Mac OS X ist. Zu diesem mehr oder weniger festlichen Anlass haben wir einmal die wichtigsten Würmer und Trojaner der letzten zehn Jahre herausgesucht.

Renepo (2004)

Wir haben auf einer ESET-Seite die wichtigsten Fakten zum Thema Mac-Malware zusammengefasst. Hier kann man auch sehen, dass die erste Malware gegen Mac OS X 2004 entdeckt wurde.

Bei Renepo (auch bekannt als „Opener“) handelte es sich um einen Shell-Skript-Wurm mit Backdoor- und Spyware-Funktion. So konnten die Schnüffler von den infizierten Computern Informationen stehlen, Updates abstellen, die Firewall deaktivieren und Passwörter knacken.

Renepo

Dieser Wurm hat sich aber nie zu einem großen Problem entwickelt, weil er sich nicht über das Internet verbreitete, sondern manuell vom Angreifer auf dem Computer installiert werden musste. Nichtsdestotrotz war Renepo ein erstes Indiz dafür, dass auch Macs nicht immun sind gegen schädliche Codes.

Leap (2006)

Für viele, die sich intensiver mit Apple-Sicherheit auseinandersetzen, war Leap der erste richtige, auf Mac OS X ausgerichtete Wurm.

Durch das Versenden von infizierten iChat-Sofortnachrichten konnte sich Leap auf andere Mac-Geräte ausbreiten – ähnlich einem E-Mail- oder Instant-Messaging-Wurm.

Viele Mac-Begeisterte verteidigten Apple damals und behaupteten, dass Leap „kein echter Virus“ sei, sondern ein Trojaner. Meiner Meinung nach liegen diese Leute falsch.

In der Regel wurde argumentiert, dass Leap eine Nutzer-Interaktion benötigte, um einen Computer zu infizieren – der Nutzer musste die ihm zugesendete, schädliche Datei öffnen. Deshalb könne es sich hierbei weder um einen Wurm noch um einen Virus handeln.

Die gleiche Struktur wiesen aber auch Varianten von Windows-Malware wie MyDoom und Sobig auf – hier mussten die Nutzer auf einen Datei-Anhang klicken. Viele Mac-Nutzer haben diese Malware-Exemplare immer wieder als Virus bezeichnet.

Für mich ist „Virus“ ein Oberbegriff für verschiedene Arten von Malware, unter anderem Internet-Würmer, E-Mail-Würmer, parasitäre Dateiviren, Begleitviren, Bootsektorviren usw. Trojaner gehören zu einer ganz anderen Klasse von Malware, denn anders als Viren und Würmer können sie sich nicht selbstständig vervielfältigen.

Kurz nach Leap verbreitete sich eine andere Malware, ein Proof-of-Concept-Wurm namens Inqtana, der Bluetooth-Schwachstellen ausnutzte, um sich zu verbreiten.

Das nächste Mal, wenn Ihnen jemand erzählen will, dass es für Mac OS X keine Viren gibt, können Sie nun also in besserwisserischer Manier antworten: Oh doch, die gibt es!

Jahlav (2007)

Ernster wurde es mit dem Aufkommen von Jahlav – auch bekannt als RSPlug. Diese Malware-Familie wendete einen Trick an, der normalerweise bei Windows-basierten Bedrohungen beobachtet werden kann: Bei infizierten Computern wurden die DNS-Einstellungen verändert. Eine Version von Jahlav war oftmals getarnt als Videocodec für pornografische Videos.

Jahlav

Dieses Beispiel zeigt, wie viele Leute durch Social Engineering dazu verleitet werden, einer Anwendung den Zugang zu ihrem Computer zu gestatten.

Zudem zeigt dieser Fall, dass sich viele Mac-Nutzer – genauso wie ihre Windows-liebenden Freunde – angreifbar machen, wenn sie glauben, dass es darum geht nicht-jugendfreie Inhalte sehen zu können.

MacSweep (2008)

MacSweep ist eines der frühen Beispiele für Mac OS X Scareware. Hierbei wurde den Nutzern weißgemacht, dass es auf ihren Computern Sicherheits- und Privatsphärenprobleme gibt. Alle angezeigten Warnungen dienten aber allein dem Zweck ahnungslose Nutzer dazu zu bringen die Vollversion der Software zu kaufen.

Snow Leopard (2009)

Bei Snow Leopard handelt es sich natürlich nicht um Malware, sondern um die im August 2009 veröffentlichte Version 10.6 von Mac OS X.

Das Betriebssystem steht in dieser Liste, weil es die erste Version mit einem eingebauten – wenn auch sehr rudimentären – Antivirenschutz war.

Mac OS X Snow Leopard intercepting some malware

Nach den vielen Schlagzeilen über die Infizierungen durch Sprösslinge der Jahlav Malware-Familie entschied Apple, dass auch ihre Geräte einen Schutz brauchen.

Die Antiviren-Funktion hat Malware aber nur unter bestimmten Voraussetzungen erkannt und ursprünglich nur zwei Malware-Familien aufgespürt. Für sicherheitsbewusste Mac-Nutzer ist das natürlich nicht genug.

Boonana (2010)

Dieser Java-basierte Trojaner kennzeichnet den Beginn von plattformübergreifender Malware. Er hat sich über Nachrichten in sozialen Netzwerken verbreitet und die Nutzer mit der Frage „Bist du das in dem Video?“ dazu verleitet, das vermeintliche Video anzuklicken.

Boonana

MAC Defender (2011)

Mit dem MAC Defender erreichten die Malware-Infizierungen neue Höhen. Dieser Scareware-Trojaner ließ falsche Warnmeldungen über einen Virenbefall erscheinen.

Mithilfe einer Blackhat-Suchmaschinenoptimierungstechnik haben die Hacker den Traffic bei bestimmten Suchanfragen zu Webseiten geleitet, die einen falschen Antiviren-Scan beinhalteten.

Den Nutzern wurde daraufhin eine kostenpflichtige Lösung für ihr vermeintliches Problem angeboten. Dafür mussten sie natürlich lediglich ihre Kreditkarteninformationen angeben.

MacDefender

Zehntausende von Nutzern haben Apples technischen Support kontaktiert und um Hilfe gebeten.

Flashback (2011/2012)

Mit einer Infizierung von mehr als 600.000 Macs war der Flashback-Ausbruch von 2011/2012 der Angriff mit der bis dahin größten Reichweite.

Flashback

Die Malware hat sich als Installer für Adobe Flash getarnt und eine Schwachstelle in Java ausgenutzt, um an wichtige Daten wie Passwörter und Bankinformationen zu gelangen. Außerdem wurden Suchmaschinenergebnisse umgeleitet und die Nutzer mit schädlichen Inhalten konfrontiert.

Im September 2012 haben ESET-Forscher eine technische Analyse über Flashback veröffentlicht, mit der Sie sich ausführlicher über die Malware informieren können.

Lamadai, Kitm and Hackback (2013)

In den vergangenen Jahren wurden Macs vermehrt für Spionage genutzt und prompt haben misstrauische Finger in Richtung Geheimdienste und von der Regierung beauftragte Hacker gezeigt, wenn ganz bestimmte Ziele getroffen wurden.

Der Lamadai Backdoortrojaner beispielsweise hat NGOs (Non-Governmental Organizations) in Tibet angegriffen. Eine Java-Schwachstelle wurde ausgenutzt, um den Computer mit weiteren Malware-Codes zu infizieren.
Lamadai malware

Kitm und Hackback haben währenddessen Rechner bei RGE Oslo Freedom Forum ausspioniert und die Kontrolle übernommen, sodass die Hacker ferngesteuert Befehle ausführen konnten.

LaoShu, Appetite and Coin Thief (2014)

Und schon sind wir bei 2014 angekommen. Auch in diesem Jahr gab es schon ein paar Malware-Vorfälle, denen man Aufmerksamkeit schenken sollte.

Laut ESET-Forschern werden jede Woche neue Varianten von Mac-Malware entdeckt, die vor allem Nutzer mit ungesicherten Geräten in Gefahr bringen ihre Daten zu verlieren oder anderweitig geschädigt zu werden.

Vom Staat geförderte Spionage hinterlässt weiterhin seine Spuren. Großes Aufsehen erregte die Entdeckung von Appetite, einem Mac OS X Trojaner, der für eine Vielzahl von zielgerichteten Angriffen gegen staatliche Ministerien, diplomatische Ämter und Korporationen genutzt wurde.

Angry Bird, upset that people are pirating his softwareAußerdem hat sich LaoShu durch Spam-Nachrichten verbreitet. Getarnt als Meldung von FedEx, die auf ein nicht geliefertes Paket aufmerksam macht, hat die Malware nicht ausreichend geschützte Dokumente mit interessanten Inhalten angezapft.

Die größte Aufmerksamkeit hat aber wahrscheinlich CoinThief erregt, der sich in Form von geknackten Versionen von Angry Birds, Pixelmator und anderen beliebten Apps verbreitete. Das Interessanteste an CoinThief ist, dass das Ziel dieser Malware war, durch schädliche Browser-Add-Ons Anmeldedaten aus Bitcoin-Börsen und Wallet-Seiten zu stehlen.

Zusammenfassung – Schützen Sie sich

Hiermit beenden wir unseren kleinen historischen Überblick über Mac OS X Malware. Wenn Sie mehr über eine dieser Bedrohungen oder eine andere von ESET gefundene Mac-Malware erfahren wollen, schauen Sie einfach auf die Seite des Unternehmens zu den wichtigen Fakten über Mac-Malware. Zudem lohnt es sich darüber nachzudenken die ESET Cyber Security Pro für Mac kostenlos zu testen.

Auch wenn es für Mac bei weitem nicht so viel Malware gibt wie für Windows, ist jede Infizierung eine zu viel. Und Sie können davon ausgehen, dass die bösen Jungs hart arbeiten um an frische Beute zu kommen.

Weiterführende Links:

ESET Cyber Security Pro für Mac kostenlos testen.

Autor Graham Cluley, We Live Security