ARM-Macs: Erste Malware für Apple-Chip angepasst

Ein Sicherheitsforscher ist auf Adware gestoßen, die nativ auf den neuen M1-Macs lief. Manche Antiviren-Tools zeigen sich dafür noch blind.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 22 Beiträge

(Bild: Nanain/Shutterstock.com)

Von
  • Leo Becker

Malware-Anbieter haben damit begonnen, ihre Software nativ für ARM-Macs auszulegen: Die Adware GoSearch22 wurde Ende Dezember als für Intel- wie ARM-Macs ausgelegte Universal-App in freier Wildbahn gesichtet und als Sample zu dem Malware-Verzeichnis VirusTotal hochgeladen, wie der Sicherheitsforscher Patrick Wardle bemerkte. Es dürfte sich um eines der ersten dokumentierten Exemplare an Mac-Malware mit beigepackter ARM64-Binary handeln.

Bei der Adware handelt es sich um eine Erweiterung für den vorinstallierten Apple-Browser Safari, die Suchanfragen umleiten soll und dem Nutzer Pop-ups und Banner-Werbung zeigen will, um damit Geld zu verdienen – die Software basiert offenbar auf der beharrlichen, plattformübergreifenden Adware Pirrit. Der Schädling wurde ursprünglich im November 2020 mit einer Apple-Developer-ID signiert, erläutert Wardle in seiner Analyse der Software. Das entsprechende Zertifikat hat Apple bereits zurückgezogen, somit lässt sich die Erweiterung nicht mehr auf Macs ausführen – falls der Anbieter zur Signierung nicht inzwischen auf eine andere Developer-ID umgestiegen sein sollte, merkt der Sicherheitsforscher an.

Lesen Sie auch

Ob die Adware es auch wie andere Schädlinge geschafft hat, sich erfolgreich Apples automatisierter Malware-Überprüfung zu unterziehen und damit notarisiert war, bleibt im Nachhinein unklar.

Zahlreiche Programme und Tools laufen inzwischen nativ auf Apples ersten ARM-Macs mit dem M1-Chip des Herstellers, die erst rund ein Vierteljahr im Handel sind. Bislang gibt es nur Einsteiger-Modelle mit Apple-Chip, darunter MacBook Air, das MacBook Pro in der Basisausführung und den Mac mini.

Entsprechend ist es wenig überraschend, dass auch Malware-Entwickler ihre Apps für ARM-Prozessoren anpassen. Problematisch sei aber, dass manche statische Analyse-Tools und Antiviren-Engines derzeit noch Probleme mit ARM64-Binaries haben, schreibt Wardle. In seinen Testläufen sank die Erkennungsrate der reinen ARM-Version von GoSearch22 um rund 15 Prozent im Vergleich zur x86_64-Version.

(lbe)