Verschlüsselung & Datensicherheit

ARM-Macs: Erste Malware für Apple-Chip angepasst

Ein Sicherheitsforscher ist auf Adware gestoßen, die nativ auf den neuen M1-Macs lief. Manche Antiviren-Tools zeigen sich dafür noch blind

Malware-Anbieter haben damit begonnen, ihre Software nativ für ARM-Macs auszulegen: Die Adware GoSearch22 wurde Ende Dezember als für Intel- wie ARM-Macs ausgelegte Universal-App in freier Wildbahn gesichtet und als Sample zu dem Malware-Verzeichnis VirusTotal hochgeladen, wie der Sicherheitsforscher Patrick Wardle bemerkte. Es dürfte sich um eines der ersten dokumentierten Exemplare an Mac-Malware mit beigepackter ARM64-Binary handeln.

Adware zielt auf Apple-Browser ab

Bei der Adware handelt es sich um eine Erweiterung für den vorinstallierten Apple-Browser Safari, die Suchanfragen umleiten soll und dem Nutzer Pop-ups und Banner-Werbung zeigen will, um damit Geld zu verdienen – die Software basiert offenbar auf der beharrlichen, plattformübergreifenden Adware Pirrit. Der Schädling wurde ursprünglich im November 2020 mit einer Apple-Developer-ID signiert, erläutert Wardle in seiner Analyse der Software. Das entsprechende Zertifikat hat Apple bereits zurückgezogen, somit lässt sich die Erweiterung nicht mehr auf Macs ausführen – falls der Anbieter zur Signierung nicht inzwischen auf eine andere Developer-ID umgestiegen sein sollte, merkt der Sicherheitsforscher an.

Ob die Adware es auch wie andere Schädlinge geschafft hat, sich erfolgreich Apples automatisierter Malware-Überprüfung zu unterziehen und damit notarisiert war, bleibt im Nachhinein unklar.

Probleme bei der Erkennung durch AV-Tools

Zahlreiche Programme und Tools laufen inzwischen nativ auf Apples ersten ARM-Macs mit dem M1-Chip des Herstellers, die erst rund ein Vierteljahr im Handel sind. Bislang gibt es nur Einsteiger-Modelle mit Apple-Chip, darunter MacBook Air, das MacBook Pro in der Basisausführung und den Mac mini.

Entsprechend ist es wenig überraschend, dass auch Malware-Entwickler ihre Apps für ARM-Prozessoren anpassen. Problematisch sei aber, dass manche statische Analyse-Tools und Antiviren-Engines derzeit noch Probleme mit ARM64-Binaries haben, schreibt Wardle. In seinen Testläufen sank die Erkennungsrate der reinen ARM-Version von GoSearch22 um rund 15 Prozent im Vergleich zur x86_64-Version.

 

Quelle: heise Online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben