Durch App Stores, Sicherheitsmassnahmen und viele Restriktionen wird es Malware immer schwerer gemacht, den Weg auf den Rechner oder das Smartphone des Nutzers zu finden. Wenn es dann doch mal wieder gelingt, kann häufig grosser Schaden für den Nutzer oder immer öfter auch für Werbenetzwerke angerichtet werden. Jetzt ist eine neue Malware für Mac OS aufgetaucht, die sich aktuell nur durch ein kurioses Verhalten äussert: Sie tauscht die Google-Suchergebnisse gegen Bing-Suchergebnisse aus.
Malware kann oft grosse Schäden anrichten: Sie kann die Geräte des Nutzers unbrauchbar machen, Daten löschen, in einigen Fällen Zahlungen für Gegenmittel erpressen oder auch wichtige Zugangsdaten abgreifen. Das ist aber vergleichsweise aufwendig und wenig lukrativ. Deswegen konzentrieren sich viele Entwickler darauf, eigene Werbebanner einzuschleusen und so in „erfolgreichen“ Fällen mehrere Millionen Dollar pro Monat zu verdienen.
Die Sicherheitsforscher von AiroAV haben nun eine neue Malware für Mac OS entdeckt, die aktuell nur ein eher kurioses Verhalten an den Tag legt: Sie nistet sich über ein aufwendiges Prozedere im Safari-Browser ein und manipuliert die Google-Suchergebnisse. Dabei werden aber keine suspekten Links eingefügt, sondern die Ergebnisse werden einfach durch die Suchergebnisse der Microsoft-Suchmaschine Bing ausgetauscht. Durch optische Anpassungen bemerkt der Nutzer das nicht, wodurch die Malware vollständig unentdeckt bleibt.
Die Bing-Suchergebnisse werden durch einen iframe direkt in die Google Websuche eingebunden und ersetzen dort die eigentlich von den Google-Algorithmen ausgespuckten Ergebnisse. Vielleicht fällt es dem einen oder anderen Nutzer durch Qualitätsunterschiede (in beide Richtungen, je nach Thema) oder weniger zusätzlichen Elementen auf, aber grundsätzlich wäre das kaum zu erkennen.
Fraglich ist, was die Entwickler damit bezwecken. Möglicherweise ist es nur ein Test dafür, wie zukünftig andere Ergebnisse eingeschleust werden können, die auf Werbeseiten führen. Aktuell haben die Sicherheitsforscher keine Hinweise darauf finden können, dass andere Inhalte als Bing-Suchergebnisse eingefügt worden sind. Um diesen unbemerkten Austausch überhaupt zu ermöglichen, besorgt sich die Malware die Mac OS-Zugangsdaten des Nutzers und installiert ein eigenes Root-Zertifikat.
Betroffen ist lediglich der Safari-Browser unter Mac OS, vermutlich würde es aber durch die Methode auch auf jedem anderen Betriebssystem funktionieren. Apple ist bereits an der Sache dran und untersucht, wie man auch solchen Angriffe in Zukunft verhindern kann.