Mac-Nutzer sind eine ganz besondere Spezies. Oft besserverdienend (teure Geräte!), aus mehr oder weniger kreativen Berufen (die Software!), und manchmal ein kleines bisschen arrogant dem Windows-nutzenden Pöbel gegenüber. Letzteres hängt auch damit zusammen, dass Windows-Nutzer sich mit Problemen wie Virenscannern herumschlagen müssen, für solch Profanes haben Mac-Nutzer keine Verwendung, denken sie zumindest. Seit Jahrzehnten hält sich die Auffassung, es gebe praktisch keine digitalen Schädlinge, die Apple-Produkte befallen.
Dass das mittlerweile eine Fehleinschätzung ist, zeigt ein Fund der Cybersicherheitsfirmen Red Canary und Malwarebytes. Auf fast 40 000 Apple-Rechnern fanden ihre Analysten eine unbekannte Schadsoftware, die sie "Silver Sparrow" tauften. Seitdem rätseln Fachleute und die Gemeinde der Apple-Fans, wer für das Programm verantwortlich ist.
Auch in Deutschland wurden rund 1000 der Infektionen entdeckt. Die Verbreitung weltweit dürfte deutlich höher sein als die bekannten 40 000 Infektionen, sagt Sicherheitsforscher Christian Funk, der die deutsche Forschungsabteilung der IT-Sicherheitsfirma Kaspersky leitet. Während so gut wie alle neuen Windows-Rechner mit Probeversionen von Kaspersky, McAfee oder Symantec ausgeliefert werden, kommen Apple-Produkte in dieser Hinsicht jungfräulich daher. Verständlich, dass sich Mac-Nutzer nicht selbst um einen der oft nervig auf dem Bildschirm aufploppenden Scanner bemühen, zumal die meisten großen Viren und Würmer tatsächlich für Windows geschrieben werden.
Die nun gefundene Schadsoftware versetzt vor allem die Apple-Experten unter den Sicherheitsforschern in einige Aufregung. Denn einige Details sind mysteriös. Die hohe Verbreitung macht Experten stutzig, denn um die Software zu installieren, mussten Nutzer der Installation von Dateien mit den Namen "update.pkg" bzw. "updater.pkg" aktiv zustimmen. Noch ist unklar, wo diese herkamen. Die Analysten von Malwarebytes vermuten verseuchte Webseiten. Aber haben wirklich 40 000 Nutzer dem Download zugestimmt und es dann für eine gute Idee gehalten, die versehentlich aus dem Netz geladene Software zu installieren?
Das Programm sagt nur "Hallo Welt"
Auffällig ist zudem eine Besonderheit der Software: Sie wirkt auf den ersten Blick sinnlos, scheint überhaupt keine schädliche Funktion zu haben. Sie stiehlt keine Passwörter, verschlüsselt keine Daten ihres Ziels, verlangt kein Lösegeld, um sie wieder zu entschlüsseln, spioniert nicht. Sie blendet nicht einmal ungefragt nervige Werbung ein. Es gibt zwar eine ausführbare Datei (in zwei Versionen), aber die tut nicht mehr, als einen Satz anzuzeigen: "Hello World" (seit den 70ern ein Klassiker der Programmiergeschichte) und "You did it" (deutsch: Du hast es geschafft). Dass es zwei Versionen gibt, hängt mit einer weiteren Auffälligkeit zusammen, die Fachleute hellhörig macht. Der Code der Schadsoftware ist in einer der Versionen offenbar speziell für die neuen M1-Prozessoren von Apple geschrieben worden. Diese sind erst seit Ende vergangenen Jahres auf dem Markt. Die Hacker sind also früh dran.
Schadcode gibt es also keinen, doch die Software erwacht manchmal zum Leben. Dafür funkt sie einmal in der Stunde einen Kontrollserver an, um zu sehen, ob sie Software nachladen soll. Eigentlich, sagt Christian Funk, handele es sich deshalb eher um einen "Loader" als um ein Virus oder einen Trojaner. Als IT-Verteidiger würde er dennoch sofort Alarm schlagen, denn gefährlich sei die Software auf jeden Fall. Auch der "König der Schadsoftware", der Trojaner Emotet, ging ähnlich vor. Die eigentlich schädliche Software wurde meist erst nachgeladen, als Emotet schon ins System gelangt war.
Ebenfalls viel diskutiert wird ein weiteres Detail des Loaders. Wenn die Software beim stündlichen Kontakt mit den Kontrollservern einen bestimmten Befehl bekam, löschte sie sich und beseitigte fast alle Spuren ihrer Existenz - ein Selbstzerstörungsmechanismus. Übrig bleibt nur eine Datei mit kryptischem Namen. Dieser sogenannte Kill-Switch kam bei Silver Sparrow offenbar häufig zum Einsatz. Von knapp über 40 000 infizierten Maschinen fanden Malwarebytes-Scanner in 39 000 Fällen nur noch jene Datei. Die Entwickler der eingeschleusten Software haben also wohl gemerkt, dass ihnen IT-Sicherheitsforscher auf den Fersen waren.
Apple hat reagiert und die digitalen Zertifikate widerrufen, mit denen die Autoren die Software unterzeichnet hatten. Damit können Nutzer die Dateien ab sofort nicht mehr auf ihren Macs installieren.
Über die Programmierer der Schadsoftware gibt es einige Spekulationen. Waren es Staatshacker, die sich testweise über Sicherheitslücken in die Macs schleusen, ihr Arsenal ausprobieren wollten? Das wohl nicht, sagen der SZ mehrere Sicherheitsforscher. Thomas Reed, Autor des Malwarebytes-Berichts, ist sich ziemlich sicher, dass es sich um die erste Entwicklungsstufe einer sogenannten Adware handelt. Solche Schädlinge kapern etwa den Browserverkehr der Nutzer und klicken im Hintergrund auf Werbebanner. So simulieren sie menschliche Aufmerksamkeit, die für die Kriminellen Werbeumsätze generiert. Das hält auch Kaspersky-Experte Funk für wahrscheinlich.
Die Botschaften wie "Hello World" und "You did it" deuten für Funk darauf hin, dass es sich um experimentelle Schadsoftware handeln dürfte, einen Testballon. Bei der Aufregung, in die das Experiment die Apple-Welt versetzt hat, erwartet er nun, dass das Experiment erst einmal auf Eis gelegt wird. Geglückt ist es dennoch. Das Virus hat sich verbreitet, der Code hat funktioniert. Apple-Nutzer dürfen sich auf weitere Malware einstellen.
