Auf GitHub: Zahlreiche Fakes bekannter Mac-Apps kursieren

Obacht, wenn man nach macOS-Apps googelt: Entwickler insbesondere bekannter Indie-Anwendungen für den Mac warnen davor, dass auf GitHub Klone ihrer Produkte kursieren, die offenbar mit Ad- oder Malware verseucht sind. Der unabhängige Developer Jeff Johnson, bekannt unter anderem durch StopTheMadness Pro für Apples Safari-Browser, bemerkte Fake-Varianten seiner eigenen App, aber auch von 1Blocker, Airfoil, BBEDit, VLC, SoundSource, Little Snitch, OmniOutliner und sogar der Figma-App. Besonders dreist: Auch Schutzprogramme von Malwarebytes wurden geklont. Zu entdecken waren diverse der Fake-Anwendungen, wenn man schlicht nach „macOS“ auf GitHub suchte. Sie tauchten aber auch teils gut gerankt bei Google auf, weil die Scammer passende SEO-Keywords verteilt haben. GitHub, eine Microsoft-Tochter, ist zwar informiert, kommt aber mit dem Löschen nicht hinterher oder reagiert erst gar nicht.

Videoanleitung samt Aufforderung der Passworteingabe

Die gefälschten Anwendungen verfügen jeweils über eigene GitHub-Repositories und wurden von erst kürzlich erstellten Accounts angelegt. Als Support- oder Impressums-Adresse nutzen sie Fake-E-Mails, die den jeweiligen App-Namen enthalten. Die Repositories enthalten auch Download-Links für die Fake-Apps. Diese werden auf merkwürdige URLs weitergeleitet, in denen behauptet wird, man sei ein „Verified Publisher“. Um Nutzer zu motivieren, die Scammer-Programme zu installieren, gibt es dort jeweils ein Anleitungsvideo.

Nutzer sollen entweder ein (mit einem Kopieren-Knopf ausgestattetes) Terminal-Kommando samt Admin-Passwort eingeben oder die jeweilige Fake-App als DMG-Datei herunterladen und dann via Terminal installieren – ebenfalls mit Eingabe eines Admin-Passworts. Auf diese Weise können sich die Programme dann tief im System verankern und schwerwiegende Schäden anrichten und Daten abgreifen.

Noch unklar, was der Code auf dem Mac anstellt

Derzeit ist noch unklar, was genau die Scammer mit ihren Apps tun. Analysen des Codes konnte Johnson bislang nicht vornehmen. Eine Anfrage an den macOS-Malware-Experten Patrick Wardle, ob er sich bereits mit dem Thema beschäftigt hat, blieb zunächst unbeantwortet – auf X hat er sich bis dato noch nicht zum Thema geäußert.

Nutzer sollten grundsätzlich vorsichtig sein, woher sie ihre Apps außerhalb des Mac App Store beziehen. Alle der bislang genannten Scam-Apps verfügen „in echt“ über eine eigene Website, zudem ist nur VLC tatsächlich quelloffen. Spätestens bei der Aufforderung, im Terminal zu agieren und dort sein Passwort einzugeben, sollte man hellhörig werden. Wie viele Opfer der Scam bislang hatte, ist unklar.

(bsc)