Mac-Malware 2014 im Rückblick

Virus Mac

Mac-Malware 2014 im Rückblick

Es gibt tatsächlich Malware für Mac, aber bedeutend weniger als für Windows. Im Jahr 2014 ist weniger neue Schadsoftware für Mac aufgetaucht als in den Jahren zuvor – sechs neue Malware-Familien für OS X kamen hinzu. 2013 waren es acht neue, im Jahre 2012 waren es 11 neue Malware-Familien für Mac. Anfang 2015 gibt es nun 51 unterschiedliche Typen von Schadsoftware für Mac

Mac Malware 2014

Die Gefährdung von OS X durch Malware war schon immer sehr gering. In Zahlen ausgedrückt: 2014 gab es auf jeden Mac-Schädling ca. 1 Million Windows-Schädlinge. An dieser Situation hat sich auch 2014 nichts geändert, aber es waren einige neue Trends auszumachen.

LaoShu
Die erste Neuerscheinung 2014 war LaoShu, das gegen Ende Januar auftrat. Es durchsuchte infizierte Systeme nach bestimmten Dateien, wurde von Apple aber rasch blockiert durch das Annullieren der Developer ID, mit der LaoShu signiert wurde. Zusätzlich wurde Mac OS X Anti-Malware-System XProtect um die Signatur von LaoShu ergänzt.

CoinThief
Im Februar 2014 erschien CoinThief, das Bitcoins vom betroffenen Computer stehlen sollte. Diese Schadsoftware für Mac war nicht mit einer Developer ID signiert, weshalb sie von Gatekeeper (Seit OS X 10.7 in OS X integriert) von vornherein geblockt wurde. Aber auch für diejenigen, die Gatekeeper ausgeschaltet haben, war CoinThief keine ernste Bedrohung. CoinThief verbreitete sich über Torrent-Seiten mit gecrackter Software und Download-Portalen wie Download.com, Softonic.com und MacUpdate.com.

XSLCmd
wurde im September 2014 entdeckt. Diese Schadsoftware wurde von Linux zu OS X portiert. Der Verbreitungsgrad ist äußerst gering, eine Verbreitung „in freier Wildbahn“ wurde nicht nachgewiesen.

iWorm
Ebenfalls im September 2014 tauchte der Trojaner iWorm auf. Ähnlich wie CoinThief verbreitete sich iWorm über gecrackte Software-Pakete aus Tauschbörsen wie PirateBay. iWorm installiert eine BackDoor und nimmt Kontakt auf zu einem entfernten Kontrollserver – d.h. der Mac wird Teil eines Bootnetzes. Die Software installiert einen Ordner in /Library/Application Support/JavaW, wodurch sie leicht aufzuspüren ist.

Ventir
Ventir wurde im Oktober 2014 von Kaspersky gemeldet, über Verbreitungs- und Installationswege hat das Unternehmen jedoch keine Details genannt. The Safe Mac berichtet über eine Unix-Datei, das via Terminal installiert werden muss. Die Informationen von Kaspersky sind dürftig, die Verbreitung wohl äußerst gering.

WireLurker
Die Schadsoftware WireLurker wurde im November 2014 entdeckt. Die Infektion erfolgt über Trojaner, die von einem chinesischen App Store geladen werden. Neuartig an WireLurker ist, dass das Programm nach der Installation nichts tut und nur abwartet, bis ein iOS-Gerät an den infizierten Mac angeschlossen wird, um es dann über die USB-Verbindung mit weiterer Schadsoftware zu infizieren. Interessanterweise dient die iOS-Schadsoftware anschließend dazu, das Gerät eindeutig zu identifizieren – deshalb wird vermutet, dass dieses Programm dazu dient, chinesische Softwarepiraten zu identifizieren.

XProtect wurde laufend ergänzt
Für alle im Jahr 2014 bekannt gewordene Schadsoftware wurde Apples Sicherheitskomponente XProtect um die entsprechenden Signaturen erweitert; falls eine Developer ID benutzt wurde, wurde diese annulliert. Die Reaktionen von Apple erfolgten zwar nicht in der wünschenswerten Geschwindigkeit, aber die Kombination von File Quarantine, Gatekeeper und XProtect hat sich bewährt bei der Bekämpfung von Malware für OS X.

AdWare als Trend

InstallerIm Großen und Ganzen wurden 2014 keine ernsten Threads von Malware bekannt. Die zunehmende Verbreitung von AdWare war da schon wesentlich gravierender. Zwar ist AdWare kein echtes Schadprogramm, denn sein einziger Zweck ist die Einblendung von Werbung, nicht jedoch der Diebstahl von Informationen und Daten. AdWare nistet sich typischerweise als Browser-Plugin für Safari der Firefox ein und zeigt zusätzliche Werbung auf WebSites, die normalerweise keine Werbung darstellen – oder leitet die Suchanfragen im Browser auf ungewollte Server um. Die typischen Mechanismen von Trojanern und Würmern treffen auf AdWare nicht zu: es wird kein Kontakt mit Kontroll-Servern aufgenommen, kein Nachladen von zusätzlichem Code, keine Backdoors.

Trotzdem hat sich AdWare zu einem ernstzunehmenden Problem entwickelt – auch weil es bei Mac-Anwendern bisher überhaupt kein Problembewusstsein dafür gibt. Eine eventuell installierte Virenschutzsoftware vermittelt ein falsches Sicherheitsgefühl und manche Anwender mussten feststellen, dass es mit der Erkennung von AdWare bei den meisten Virenschutzprogrammen nicht weiter her ist. Zur Erkennung und Entfernung von AdWare empfehlen wir das Programm AdwareMedic von Thomas Reed, dem Autor von The Safe Mac.

Im Jahr Jahr 2014 erhielten wir viele Anfragen zur Entfernung von AdWare – deutlich mehr als die Summe aller uns bekannten FlashBack-Infektionen in den vergangenen Jahren.

Ausblick auf 2015

An der Front der „echten“ Schadsoftware in Form von Trojanern und Würmern erwarten wir für 2015 nicht viele Überraschungen. Die bisher in nennenswerter Zahl verbreitete Malware für Mac ist im Vergleich zur Situation von Windows geradezu lächerlich. Die Erfolgschancen von Windows-Malware ist nach wie vor ungleich höher, die Sicherheitsmaßnahmen in Mac OS X waren schon immer gut und haben sich in den vergangenen Jahren mit Gatekeeper und XProtect nochmals deutlich verbessert. Das Geschäftsmodell von AdWare scheint sich für die Betreiber deutlich besser zu rentieren – deshalb  gehen wir davon aus, dass die Verbreitung von AdWare in den kommenden Jahren noch weiter zunehmen wird.

Wir wünschen allen Mac-Usern ein frohes und unbeschwertes Neues Jahr 2015!

"Mac OS X ist wie das Landleben auf einem Bauernhof ohne Türschlösser, und Windows ist wie das Leben hinter vergitterten Fenstern im Elendsviertel der Stadt."
Charlie Miller

2 Comments
  • Roland Müller
    Posted at 16:45h, 29 September

    Was haltet ihr denn von Mac SW Bundle Angeboten.
    Aktuell gibt es noch auf MacUpdate ein Bundle mit 10 Apps wie: Toast14, MacOptimizer, Paragon, Sparkle, usw.
    Muss man da Angst haben, dass man keine Original-SW bekommt und sich evtl. Viren oder Trojaner einfängt, oder sind das doch seriöse Angebote.

    • Thomas Kemmer
      Posted at 16:50h, 29 September

      Ich halte von Macupdate gar nichts – deren Finanzierung erfolgt durch AdWare-Installation und anderem Mist. Warum sollte in diesen Bundles keine AdWare drin sein?