Trojaner, Apple-Apps

macOS-Malware: Trojaner tarnen sich als legitime Apple-Apps

05.06.2026 - 19:06:24 | boerse-global.de

Mehrere neuartige Schadprogramme attackieren macOS-Systeme. Angreifer nutzen raffinierte Methoden, um Apples Sicherheitsmechanismen zu umgehen.

MacOS-Malware-Welle: Neue Trojaner umgehen Apples Sicherheit
Trojaner - A glowing digital padlock icon on a dark background with blurred macOS elements, representing cybersecurity threats and data protection. 05.06.2026 - Bild: über boerse-global.de

Die Angreifer nutzen raffinierte Methoden, um selbst die Sicherheitsmechanismen von Apple zu umgehen.

Operation FlutterBridge: Trojaner tarnt sich als nützliche Apps

Die Sicherheitsexperten von Palo Alto Networks' Unit 42 haben eine ausgeklügelte Kampagne namens Operation FlutterBridge aufgedeckt. Über manipulierte Google- und YouTube-Anzeigen verbreiten die Täter einen Backdoor-Trojaner mit dem Namen FlutterShell.

Anzeige: Die aktuelle macOS-Malware-Welle zeigt: Selbst Apples Notarisierungsprozess ist kein Garant für Sicherheit. FlutterShell und Reaper kapern Browser und stehlen Daten – oft unentdeckt. Dieser Report liefert eine konkrete Checkliste zur Erkennung getarnter Trojaner und eine Schritt-für-Schritt-Anleitung zum Zurücksetzen der Browser-Sicherheit. Sicherheits-Report jetzt kostenlos anfordern

Die Schadsoftware tarnt sich als harmlose Anwendungen wie „PodcastsLounge", „PDF-Brain" oder „PDF-Ninja". Besonders perfide: Die Apps wurden mit gültigen Apple-IDs signiert und haben Apples Notarisierungsprozess erfolgreich durchlaufen. Normalerweise garantiert dieser Prozess, dass eine Software keine bekannte Malware enthält.

Einmal installiert, übernimmt FlutterShell die Kontrolle über den Google Chrome Browser. Die Angreifer manipulieren die Secure Preferences-Datei, betreiben Werbebetrug und ändern die Standardsuchmaschine. Die PDF-Apps enthalten zudem eine betrügerische KI-Funktion: Laden Nutzer Dokumente hoch, werden diese direkt an die Angreifer weitergeleitet.

Die Kampagne lief bis Ende März 2026. Google hat die betroffenen Werbekonten inzwischen gesperrt.

Zwei Briefkastenfirmen als Tarnung

Hinter der Verteilung von FlutterShell stecken zwei Briefkastenfirmen: AdsParkPro LTD und Advantage Web Marketing LLC. Sie schalteten die infizierten Anzeigen, die Nutzer auf die Schadsoftware lockten.

Die Ermittler fanden Verbindungen zu früheren Malware-Kampagnen, darunter JSCoreRunner sowie Windows-Bedrohungen wie RecipeLister und Calendaromatic. Die genutzten Kommando- und Kontrollserver laufen unter anderem unter den Adressen atsheisdomestic[.]org und healightejustb[.]org.

Reaper-Variante: Neue Masche mit „ClickFix"

Die Sicherheitsfirma Moonlock entdeckte eine neue Variante des SHub Stealer namens Reaper. Die Verbreitung erfolgt über betrügerische Websites mit einer automatisierten „ClickFix"-Technik. Dabei werden Nutzer dazu gebracht, schädlichen Code über den macOS Script Editor auszuführen.

Reaper stiehlt sensible Daten aus zahlreichen Anwendungen – von Browsern wie Chrome, Firefox, Brave, Edge und Opera bis hin zu Kryptowährungs-Wallets wie Exodus, Atomic und Ledger Live. Um dauerhaft auf dem System zu bleiben, tarnt sich der Trojaner als legitimer Google-Update-Prozess.

Lieferketten-Angriff auf Daemon Tools

Anzeige: Lieferketten-Angriffe auf vertraute Tools wie Daemon Tools betreffen Unternehmen in über 100 Ländern – mit gültiger Signatur und oft unentdeckt. Schützen Sie Ihre IT-Infrastruktur mit einer Tool-Update-Whitelist und gezielten Sicherheitsmaßnahmen. Der Report zeigt, wie Sie solche Angriffe frühzeitig erkennen und abwehren. Tool-Update-Whitelist und Schutzmaßnahmen jetzt sichern

Die Sicherheitsforscher von Kaspersky berichten von einem weiteren Angriff: Die offizielle Website des bekannten Tools Daemon Tools wurde kompromittiert. Seit dem 8. April 2026 verteilt ein manipulierter Installer der Version 12.5.0.2421 eine Hintertür.

Das Problem: Die Software trägt eine gültige digitale Signatur, was die Erkennung durch Antivirenprogramme erschwert. Der Angriff hat Nutzer in über 100 Ländern getroffen, mit Schwerpunkten in Russland, Brasilien, der Türkei und mehreren europäischen Staaten. Rund zehn Prozent der Opfer sind Unternehmen.

In besonders sensiblen Bereichen – Fertigung, Regierung und Wissenschaft – setzten die Angreifer zusätzliche Schadsoftware ein, darunter Shellcode-Injektoren und Fernzugriffs-Trojaner. Zwar fanden die Ermittler chinesischsprachige Elemente im Code, eine offizielle Zuordnung zu einer bestimmten Gruppe steht jedoch noch aus.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
de | wissenschaft | 69489046 |