Neuer Trojaner nutzt Java-Lücke bei Mac OS

Wie das IT-Sicherheitsunternehmen F-Secure berichtet, ist eine neue Variante des Trojaners Flashback in Umlauf. Im Gegensatz zur ersten Version, die sich im September 2011 als Installationsdatei des Flash Players tarnte, benötigt Flashback.K keine Aktion des Users, um das System zu infizieren. Über eine Sicherheitslücke in Java kann er beim Besuchen einer Website mit manipulierten Java-Anwendungen auf das System gelangen. Oracle hat in der Windows-Version von Java die Sicherheitslücke bereits im Februar geschlossen – auf Macs ist sie aber nach wie vor offen. Apple kompiliert Java für Mac OS selbst, weshalb es laut PC World bis zu sechs Monaten dauern kann, bis ein Sicherheits-Patch ausgeliefert wird.

Ist der Schädling einmal auf dem Mac, fragt er nach dem Administrator-Passwort. Die Infektion erfolgt auch wenn der User das Passwort nicht eingibt. Flashback.K modifiziert die Inhalte auf bestimmten, aufgerufenen Websites und könnte so etwa die Passwort-Eingabe bei Paypal oder anderen Zahlungsdiensten durch eine eigene Eingabemaske ersetzen, um die Login-Daten abzufangen. Welche Websites mit falschen Inhalten angezeigt werden, wird von einem Server kontrolliert, über den auch der Schadcode, nach der Infektion, heruntergeladen wird.

Bei der Mac OS 10.7 (Lion) ist Java nicht automatisch installiert. Sollte Java nachträglich installiert worden sein oder hat man eine ältere Mac OS-Version, empfiehlt F-Secure Java zu deaktivieren, bis die Lücke geschlossen wurde. Laut F-Secure könnten bereits weitere Schadcodes in Untergrund-Märkten gehandelt werden, die ebenfalls auf Java-Sicherheitslücken in Geräten mit Mac OS abzielen.