daily.out

2013-07-26 Trojanisches Pferd Janicab erledigt

Vor ein paar Tagen tauchte ein neues Trojanisches Pferd auf, das Janicab getauft wurde. Es ist eine OS X App, die versucht, sich als PDF zu tarnen. Da OS X jedoch trotz aller Tricks die wahre Natur der Datei kennt, teilt es dies dem Benutzer mit.

Die MacTechNews-Seite behauptet zwar: "Nutzer werden in den Standard-Einstellungen von OS X daher nicht darauf aufmerksam gemacht, dass es sich um eine App handelt." Aber das ist falsch. Auch wenn eine App mit einer Apple-Dev-Id gültig signiert ist, weist OS X den User beim ersten Öffnen in Standardeinstellung, die "Mac App Store and identified developers" lautet, darauf hin, daß es sich um eine App handelt, die aus dem Internet geladen wurde. Ich habe den Autor per Email informiert, mal sehen, ob sie das korrigieren.

Sind aus dem Web geladene Apps jedoch nicht signiert, dann muß man sie beim ersten Start per Kontextmenü explizit öffnen, denn ein Doppelklick funktioniert nicht. Darum mußte dieser Schädling von einem offiziellen Entwickler signiert werden, ansonsten hätte der typische Benutzer das Ding gar nicht starten können.

Angriff auf Apples Entwicklerseite spielt keine Rolle

Der eine oder andere Laie mutmaßt, ob der Angriff auf Apples Entwicklerseite mit diesem Schädling zu tun haben könnte. Dabei wird frei spekuliert, ob irgendwelche Zertifikate in fremde Hände gelangt wären, die bei der Signierung der Malware hätten helfen können. Das ist jedoch völlig irrelevant. Selbst wenn die Angreifer alle Zertifikate der Welt bei Apple abgegriffen hätten, können sie damit nicht Apps im Namen anderer Mac-Entwickler signieren, weil man dazu den Private Key des jeweiligen Entwickler braucht. Und der liegt auf dem privaten Rechner des Programmierers, nicht bei Apple.

Selbst wenn die Angreifer die Möglichkeit hätten, in Apples Namen neue Zertifikate für beliebige bösartige Entwickler auszustellen, würde das nicht relevant sein, denn Apple kann jederzeit jedes beliebige Entwickler-Zertifikat ungültig machen. Und genau das ist wohl mit diesem Trojanischem Pferd passiert, wie The Safe Mac berichtet, dem dieser Schädling vorliegt. Die Malware läßt sich neuerdings nicht mehr starten bei ihm und man kann nur noch zwischen Cancel und Löschen wählen. "The Safe Mac" schreibt: "Updates: July 16, 2013: Looks like the developer certificate used to sign this trojan has already been revoked. I just tested it, and trying to open the app now results in only two choices: cancel or move it to the trash."

Von rechts nach links

Da der "Trojaner" die Systemmeldung "XY ist eine Anwendung, die aus dem Web geladen wurde. Wollen Sie die öffnen?" nicht verhindern kann, versucht er sie unleserlich zu machen und auch die Endung der App zu verschleiern, indem der letzte Teil des Namens rückwärts geschrieben ist durch Einfügen des Right-To-Left-Steuerzeichens, mit dem man bestimmen kann, daß der nachfolgende Teil des Textes in einer Sprache geschrieben ist, die man von rechts nach links liest. Das System rechnet nicht mit diesem Trick und dreht die Buchstabenreihenfolge des nachfolgenden Fehlermeldungstextes also auch um, was es etwas unleserlich macht. Screenshot von "The Safe Mac":

Janicab

Die App heißt "RecentNews.?fdp.app", wobei das ? das richtungsändernde Steuerzeichen stehen soll. Läßt man sich Datei-Endungen nicht anzeigen im Finder, dann fällt ".app" hinten weg und aus ".?fdp" wird ".pdf". Der Hinweistext enthält, wenn man die Richtung zeilenweise korrekt liest:

"RecentNews.pdf" is an application
downloaded from the Internet. Are you
sure you want to open it?

Cronjob

Wenn man in dem Dialog dennoch auf "Open" geklickt hat, dann installiert die App einiges im Verzeichnis des Benutzers, das sie offenbar verwendet, um an einem Botnetz teilzunehmen. Darunter ist ein Cronjob. Cronjobs werden seit Jahren nicht mehr auf OS X verwendet, weil sie von Launchd abgelöst wurden. Hat man dennoch einen Cronjob auf seinem System, dann benutzt man entweder grottige Software oder hat sich diese Malware installiert. Feststellen kann man das per "crontab -l" im Terminal. Erscheint dort etwas, sollte man den Fachmann seines Vertrauens um Rat bitten.

Party im Blätterwald

Die Malware hat eine Windows-Schwester, die es aber nicht in so sehr in die Presse schafft, weil es einfach nicht lohnt, über jeden neuen Schädling für Windows zu berichten. Es sind zu viele. Beim Mac ist das so selten, daß die Presse mit einer Malware pro Jahr irgendwie auskommen muß. Ja, es ist schon hart. Und dann verreckt das Ding auch noch auf halber Strecke, nur weil Apples Sicherheits-Features für OS X greifen. Und das ganz ohne Schlangenöl, besser bekannt als AV-Software.

Valid XHTML 1.0!

Besucherzähler


Latest Update: 11. September 2015 at 19:49h (german time)
Link: cnc.realmacmark.de/blog/osx_blog_2013-07-b.php