Der Appsuite PDF Editor enthält laut einer technischen Analyse des
G-Data-Sicherheitslabors eine Hintertür, die Remote-Kommandos ausführt und weitere Schadsoftware nachinstalliert – infizierte Geräte sind deshalb als kompromittiert einzustufen. Das Tool wurde über SEO-optimierte Download-Seiten verbreitet und tarnt sich als legitimer PDF-Editor. In G-Data-Telemetriedaten wurden innerhalb einer Woche 28.689 Download-Versuche gezählt.
Technisch handelt es sich um eine Electron-App. Das MSI-Installationsprogramm lädt nach der Einrichtung zusätzliche Komponenten aus dem Internet herunter und verankert die Software dauerhaft im System. Die Malware kann Dateien und Registry-Einträge lesen/schreiben, Browser-Profile (u. a. Chromium-basierte Derivate) verändern sowie Konfigurations- und Zugangsdaten exfiltrieren. Kommunikation und Steuerbefehle laufen verschlüsselt über mehrere C2-Endpunkte der Appsuite-Domainfamilie.
Viele Schutzlösungen stufen das Programm laut
G Data noch als "potenziell unerwünschte Anwendung" ein – mutmasslich, weil die Betreiber die Malware als Fehlalarm meldeten. Die Forschenden halten dagegen fest: "Für uns besteht kein Zweifel: Appsuite PDF Editor ist bösartig". Eine einfache Deinstallation räumt das Risiko nicht verlässlich aus, da bereits nachgeladene Payloads zurückbleiben können. Empfohlen wird die Neuinstallation des Betriebssystems bzw. Wiederherstellung eines vor der Installation erstellten Backups.
(dow)
