FacebookTwitterLinkedIn

So entfernt man XcodeSpy Malware

Auch bekannt als: XcodeSpy Backdoor
Typ: Mac Virus
Schadenshöhe: Stark

Tomas Meskauskas Verfasst von am (aktualisiert)

Was ist XcodeSpy?

Die Malware XcodeSpy visiert Entwickler von Apple an, die sich über bösartige (trojanisierte) Xcode-Projekte verbreitet (Die Funktion Script Ausfü hren in Xcode IDE) Forschungsergebnisse zeigen, dass eines dieser bösartigen Xcode-Projekte (namens TabBarInteraction) der Registerkartenleiste von iOS Funktionen zum Animieren hinzufügen soll. Es ist wahrscheinlich, dass es mehr als ein trojanisiertes Xcode-Projekt gibt.

Ein bösartiger Code, den XcodeSpy verwendet, kann in jedem Xcode-Projekt Dritter leicht verborgen werden. XcodeSpy (oder besser gesagt die Hintertür, die sie injiziert) kann Audio mithilfe des Mikrofons, Videos mithilfe der Kamera und Tastatureingaben aufzeichnen. Außerdem kann sie Dateien herunterladen und hochladen.

XcodeSpy Malware hat den EggShell Backdoor installiert

Wie im ersten Absatz erwähnt, wird XcodeSpy mithilfe der Funktion Script Ausführen in Xcode IDE verbreitet. Sobald ein trojanisiertes Xcode-Projekt (XcodeSpy) gestartet wird, installiert es den Backdoor (die Hintertür) EggShell auf dem Betriebssystem.

Dann können die Angreifer installierte Hintertür verwenden, um Audio mithilfe des Mikrofons, Videos mithilfe der Kamera, Tastenanschläge protokollieren (Tastatureingaben aufzeichnen), Dateien hoch- und herunterladen. Es kommt häufig vor, dass Cyberkriminelle entführte Mikrofone und Kameras benutzen um Videos, Audio aufzuzeichnen, die verwendet werden könnten, um Opfer zu erpressen.

Sehr häufig drohen Cyberkriminelle, aufgezeichnetes Material zu veröffentlichen, falls Opfer nicht eine bestimmte Menge an Geld (normalerweise in Kryptowährung) bezahlen. Das Protokollieren von Tastenanschlägen erlaubt es den Angreifern, alles aufzuzeichnen, das Opfer mithilfe ihrer Tastatur eingeben.

Dies bedeutet, dass Cyberkriminelle in der Lage sein könnten, an Daten wie Login-Daten (Benutzernamen, E-Mail-Adressen, Passwörter) für verschiedene persönliche Konten (von Social Media bis hin zu Bankkonten), Kreditkartendaten, Sozialversicherungsnummern, Nummern von Bankkonten und so weiter zu gelangen. Abhängig von den Datensatz-Daten könnten sie verwendet werden, um Online-Konten, Identitäten zu stehlen, betrügerische Käufe, Transaktionen zu tätigen und für andere bösartige Zwecke.

Außerdem könnten all die extrahierten Informationen an Dritte (andere Cyberkriminelle) verkauft werden.

Zusätzlich können XcodeSpy/die installierte Hintertür verwendet werden, um Dateien herunterzuladen, die auf dem Computer des Opfers gespeichert sind, inklusive persönlicher Dokumente, Fotos, Videos und so weiter. Cyberkriminelle könnten drohen, diese Dateien zu veröffentlichen sowie nach einer Zahlung im Gegenzug dafür zu verlangen, gestohlene Dateien nicht frei verfügbar zu machen. Oder sie könnten versuchen, heruntergeladene Dateien auf irgendeine andere Weise zu Geld zu machen.

Wie im vorherigen Absatz erwähnt, kann XcodeSpy nicht nur verwendet werden, um Dateien herunterzuladen, sondern auch um sie hochzuladen. Es kommt häufig vor, dass Cyberkriminelle solche Funktionen verwenden, um Malware oder andere unerwünschte Software zu verbreiten.

Es ist wichtig zu erwähnen, dass die Malware XcodeSpy einen Benutzer-LaunchAgent zwecks Fortbestand installiert (Malware bleibt selbst nach einem Systemneustart aktiv).

Zusammenfassung der Bedrohung:
Name XcodeSpy Backdoor
Art der Bedrohung Backdoor Malware
Erkennungsnamen (EggShell Backdoor) Avast (MacOS:Eggshell-L [Trj]), BitDefender (Trojan.MAC.Generic.105295), ESET-NOD32 (eine Variante von OSX/EggShell.M), Kaspersky (HEUR:Backdoor.OSX.EggShell.a), vollständige Liste (VirusTotal)
Symptome Trojaner-artige Malware wird entwickelt, um den Computer des Opfers heimlich zu infiltrieren und still zu bleiben und daher sind auf einer infizierten Maschine keine bestimmten Symptome klar erkennbar.
Verbreitungsmethoden Trojanisierte Xcode-Projekte/Xcode-Projekte Dritter
Schaden Daten, finanzielle Verluste, Verlust des Zugriffs auf persönliche Konten, Probleme mit der Browsersicherheit, Online-Privatsphäre
Malware-Entfernung (Mac)

Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mac mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner.
▼ Combo Cleaner für Mac herunterladen
Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.

Weitere Beispiele für bösartige Software, die Cyberkriminelle verwenden, um Mac-Benutzer anzugreifen, sind Silver Sparrow, Eleanor und Proton. In den meisten Fällen verbreiten Cyberkriminelle Malware mit dem Zweck, persönliche Informationen zu stehlen, die auf irgendeine Weise zu Geld gemacht werden könnten oder um Computer mit zusätzlicher Malware zu infizieren (z.B. Trojaner, Ransomware), die es ihnen erlauben würde, Informationen zu stehlen oder Opfer zu erpressen.

Wie in den vorherigen Abschnitten erwähnt, verbreitet sich XcodeSpy über geteilte bösartige Xcode-Projekte, indem sie die Funktion Scripts Ausführen missbraucht. Daher wird Apple-Entwicklern dringend geraten, Xcode-Projekte Dritter auf bösartige Scrips Ausführen zu überprüfen während sie aufgenommen werden.

Wie wurden potenziell unerwünschte Anwendungen auf meinem Computer installiert?

Es ist wahrscheinlich, dass mindestens eines der bösartigen Xcode-Projekte, die verwendet werden, um XcodeSpy-Hintertür zu verbreiten, auf einer Code-Hosting-Plattform namens GitHub zum Download verfügbar ist (oder war). Verschiedene Entwicklerforen könnten ebenfalls verwendet werden.

Weitere Beispiele für Kanäle, die Cyberkriminelle verwenden, um ihre Malware zu verbreiten, sind Malspam-Kampagnen (E-Mails mit bösartigen Anhängen oder Links in ihnen), gefälschte Software-Aktualisierungsprogramme, Software-("Cracking")-Werkzeuge (Werkzeuge, die lizensierte Software illegal aktivieren), bestimmte Trojaner und unsichere Quellen zum Herunterladen von Dateien, Programmen. Beispiele für fragwürdige Kanäle zum Herunterladen von Dateien sind Peer-to-Peer-Netzwerke (z.B. Torrent Clients, eMule), Downloadprogramme Dritter, Freeware-Download-Webseiten, kostenlose File-Hosting-Seiten, inoffizielle Seiten.

Es ist wichtig zu erwähnen, dass Installationsprogramme Dritter ebenfaöös bösartig sein können.

Wie kann die Installation von potenziell unerwünschten Anwendungen vermieden werden?

In diesem Fall wird Benutzern (Apple-Entwicklern) geraten, geteilte Xcode-Projekte auf bösartige Scripts Ausführen zu überprüfen, während sie augenommen werden. Darüber hinaus wird empfohlen, Dateien oder Software ausschließlich von offiziellen Webseiten und unter Verwendung von direkten Download-Links herunterzuladen.

Falls Sie das Projekt einer anderen Person verwenden, stellen Sie sicher, dass die Quelle zuverlässig ist. Aktualisieren oder aktivieren Sie installierte Software mithilfe von Werkzeugen, die ihre offiziellen Entwickler zu Verfügung stellen.

Verwenden Sie niemals inoffizielle Werkzeuge Dritter, weder zum Aktualisieren noch zum Aktivieren der Software. Diese Werkzeuge können bösartig sein und es ist nicht legal, Tools Dritter zu verwenden, um lizensierte Software zu aktivieren.

Darüber hinaus wird dringend empfohlen, irrelevanten E-Mails, die von einem verdächtigen, unbekannten Absender empfangen wurden, nicht zu vertrauen. Wenn solche E-Mails Anhänge, Webseiten-Links enthalten, dann sollten diese Dateien, Links nicht geöffnet/angeklickt werden.

Es ist wichtig daran zu denken, dass Cyberkriminelle ihre E-Mails als offizielle, wichtige Briefe tarnen. Wenn Ihr Computer bereits mit PUAs infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um sie automatisch zu beseitigen.

Eggshell-Backdoor-Datei als Bedrohung auf VirusTotal erkannt:

Xcodespy Malware Virustotal

Umgehende automatische Entfernung von Mac-Malware: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Mac-Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
 ▼ LADEN Sie Combo Cleaner herunter (Mac) Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Das Video zeigt, wie man Adware und Browserentführer von einem Mac Computer entfernt:

Entfernung potenziell unerwünschter Anwendungen:

Potenziell unerwünschte Anwendungen von Ihrem "Anwendungen" Ordner entfernen:

Mac Browserentführer-Entfernung vom Anwendungsordner

Klicken Sie auf das Finder Symbol. Im Finder Fenster, wählen Sie "Anwendungen". Im Anwendungsordner, suchen Sie nach “MPlayerX”, “NicePlayer”, oder anderen verdächtigen Anwendungen und ziehen sie diese in den Papierkorb. Nachdem Sie die potenziell unerwünschte(n) Anwendung(en) entfernt haben, die online Werbung verursachen, scannen Sie Ihren Mac auf verbleibende, unerwünschte Komponenten.

XcodeSpy Backdoor bezogene Dateien und Ordner entfernen:

Finder go to folder command

Klicken Sie auf das Finder Symbol aus der Menüleiste, wählen Sie Gehen und klicken Sie auf Zum Ordner gehen...

step1Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchAgents Ordner:

removing adware from launch agents folder step 1

Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/LaunchAgents

removing adware from launch agents folder step 2
Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.

step2Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/Application Support Ordner:

removing adware from application support folder step 1

Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/Application Support

removing adware from application support folder step 2
Im "Application Support" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Ordnern. Zum Beispiel "MplayerX" oder "NicePlayer" und bewegen Sie diese Ordner in den Papierkorb.

step3Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im ~/Library/LaunchAgents Ordner:

removing adware from ~launch agents folder step 1


Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchAgents

removing adware from ~launch agents folder step 2Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese Ordner in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.

step4Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchDaemons Ordner:

removing adware from launch daemons folder step 1
Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchDaemons

removing adware from launch daemons folder step 2Im "LaunchDaemons" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien. Zum Beispiel "com.aoudad.net-preferences.plist", "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.avickUpd.plist", etc., und bewegen Sie diese in den Papierkorb.

step 5 Scannen Sie Ihren Computer mit Combo Cleaner:

Wenn Sie alle Schritte in der richtigen Reihenfolge befolgt haben, sollte Ihr Mac frei von Infektionen sein. Um sicherzustellen, dass Ihr System nicht infiziert ist, scannen Sie es mit Combo Cleaner Antivirus. HIER herunterladen. Nach dem Herunterladen der Datei, klicken Sie auf das Installationsprogramm combocleaner.dmg. Ziehen Sie im geöffneten Fenster das Symbol Combo Cleaner auf das Symbol Anwendungen und legen Sie es dort ab. Öffnen Sie jetzt Ihr Launchpad und klicken Sie auf das Symbol Combo Cleaner. Warten Sie, bis Combo Cleaner seine Virendatenbank aktualisiert hat und klicken Sie auf die Schaltfläche „Combo Scan starten“.

scan-with-combo-cleaner-1

Combo Cleaner scannt Ihren Mac jetzt auf Infektionen mit Malware. Wenn der Antivirus-Scan „Keine Bedrohungen gefunden“ anzeigt, heißt das, dass Sie mit dem Entfernungsleitfaden fortfahren können. Andernfalls wird empfohlen, alle gefundenen Infektionen vorher zu entfernen.

scan-with-combo-cleaner-2

Nachdem Dateien und Ordner entfernt wurden, die von dieser werbefinanzierten Software erzeugt wurden, entfernen Sie weiter falsche Erweiterungen von Ihren Internetbrowsern.

XcodeSpy Backdoor Startseiten und Standard Internetsuchmaschinen von Internetbrowsern:

safari browser iconBösartige Erweiterungen von Safari entfernen:

XcodeSpy Backdoor bezogene Safari Erweiterungen entfernen:

safari browser preferences

Öffnen Sie den Safari Browser. Aus der Menüleiste wählen Sie "Safari" und klicken Sie auf "Benutzereinstellungen...".

safari extensions window

Im Benutzereinstellungen Fenster wählen Sie "Erweiterungen" und suchen Sie nach kürzlich installierten, verdächtigen Erweiterungen. Wenn Sie sie gefunden haben, klicken Sie auf "Deinstallieren" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von ihrem Safari Browser deinstallieren können. Keine davon sind unabdingbar für die normale Funktion des Browsers.

  • Falls Sie weiterhin Probleme mit Browserweiterleitungen und unerwünschter Werbung haben - Safari zurücksetzen.

firefox browser iconBösartige Programmerweiterungen von Mozilla Firefox entfernen:

XcodeSpy Backdoor bezogene Mozilla Firefox Zusätze entfernen:

accessing mozilla firefox add-ons

Öffen Sie Ihren Mozilla Firefox Browser. In der oberen rechten Ecke des Bildschirms, klicken Sie auf das "Menü öffnen" (drei horizontale Linien) Symbol. Aus dem geöffneten Menü wählen Sie "Zusätze".

removing malicious add-ons from mozilla firefox

Wählen Sie den "Erweiterungen" Reiter und suchen Sie nach allen kürzlich installierten, verdächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Entfernen" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen deinstallieren von Ihrem Mozilla Firefox Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.

chrome-browser-iconBösartige Erweiterungen von Google Chrome entfernen:

XcodeSpy Backdoor bezogene Google Chrome Zusätze entfernen:

removing malicious google chrome extensions step 1

Öffnen Sie Google Chrome und klicken Sie auf das "Chrome Menü" (drei horizontale Linien) Symbol, das sich in der rechten oberen Ecke des Browserfensters befindet. Vom Klappmenü wählen Sie "Mehr Hilfsmittel" und wählen Sie "Erweiterungen".

removing malicious Google Chrome extensions step 2

Im "Erweiterungen" Fenster, suchen Sie nach allen kürzlich installierten, versächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Papierkorb" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von Ihrem Google Chrome Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.

▼ Diskussion einblenden

Über den Autor:

Tomas Meskauskas

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben. Lesen Sie mehr über den Autor.

Das Sicherheitsportal PCrisk wurde von vereinten Sicherheitsforschern entwickelt, um Computeranwender über die neuesten Online-Sicherheitsbedrohungen aufzuklären. Weitere Informationen über die Autoren und Forscher, die bei PCrisk arbeiten, finden Sie auf unserer Kontaktseite.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Über uns

PCrisk ist ein Cybersicherheitsportal, das Internet-Benutzer über die neuesten digitalen Bedrohungen informiert. Unsere Inhalte werden von Sicherheitsexperten und professionellen Malware-Forschern bereitgestellt. Lesen Sie mehr über uns.

Entfernungsanweisungen in anderen Sprachen
Neue Ratgeber zum Entfernen von Viren
Hochwertige Ratgeber zum Entfernen von Viren
QR Code
XcodeSpy Backdoor QR code
Scannen Sie diesen QR Code, um einfachen Zugriff auf einen Entfernungsleitfaden für XcodeSpy Backdoor auf Ihrem mobilen Gerät zu haben.
Wir empfehlen:

Entfern Sie Mac-Malware Infektionen noch heute:

▼ JETZT ENTFERNEN
Combo Cleaner für Mac herunterladen

Plattform: macOS

Bewertung des Herausgebers für Combo Cleaner:
BewertungAusgezeichnet!

[Zum Seitenanfang]

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.