Frutifly – zapomniane malware było aktywne na Makach przez prawie 10 lat

macOS rzadko ulega złośliwym programom, ale kiedy już się to dzieje, zazwyczaj jest efektowne. Malware szpiegujący użytkowników pozostawał niewykryty przez przynajmniej 5 lat, a być może był aktywny nawet dekadę. Specjaliści wiedzą o prawie 400 infekcjach, ale prawdopodobnie jest ich kilka tysięcy.

To zagrożenie odkrył Patrick Wardle z firmy Synack. Jest to wariant Fruitfly, wykrytego w styczniu, który był aktywny przez przynajmniej 2 lata. Tamten malware gromadził informacje o Macu, wciśniętych klawiszach, urządzeniach w tej samej sieci lokalnej, zapisywał zrzuty ekranu i obrazy z iSight. macOS został od tamtej pory zabezpieczony, sam wykrywa obecność Fruitfly i umie się przed nim bronić. Mimo że ten wariant Fruitfly jest prymitywny i wykorzystuje przestarzałe i porzucone funkcje systemu, a ponadto nietrudno go wykryć, nie został odnaleziony przez prawie 10 lat.

Wersja odkryta przez Wardle'a jest bardziej rozpowszechniona i działa dłużej, a mimo tego nie została wykryta przez wiele lat ani przez analityków, ani przez komercyjne programy antywirusowe. Wardle odszyfrował kilka „zapasowych” domen, zakodowanych w złośliwym programie. Domeny nie były zarejestrowane, więc przejął je na próbę. W ciągu dwóch dni z serwerami połączyło się prawie 400 zainfekowanych Maców, głównie z gospodarstw domowych w Stanach Zjednoczonych.

Wciąż nie jest znana droga, jaką malware był rozprowadzany, ale badacz podejrzewa, że użytkownicy byli wabieni i oszukiwani, by kliknęli w złośliwe odnośniki. Prawdopodobnie nie trzeba było wykorzystywać luk w systemie czy zainstalowanych na nich programach – wystarczyło trafić na użytkowników, którzy wierzą w bezpieczeństwo systemu z jabłkiem, a takich przecież nie brakuje.

Nie wiadomo też dokładnie jaki był cel istnienia tego zagrożenia. Wardle nie znalazł dowodów na to, by program gromadził dane bankowe albo rozprowadzał inne złośliwe programy, prawdopodobnie więc autorzy Fruitfly nie byli nastawieni na zysk. Nie można też powiedzieć, że to crackerzy opłacani przez rząd śledzili cele służb. Główne serwery, z którymi miał się łączyć malware, już dawno zostały wyłączone, a zapasowych nigdy nie aktywowano. Dopiero gdy Wardle uruchomił domeny na własną rękę, zainfekowane komputery ponownie zaczęły się zgłaszać. Oznacza to oczywiście, że nigdy nie zostały oczyszczone. Nawet jeśli twórcy szkodnika porzucili projekt, wciąż były podatne na atak, jeśli tylko ktoś się dostatecznie postarał.

Jaki więc był cel ataku? Nuda? Podglądactwo? Potencjalny szantaż? Podczas testów Wardle wykrył, że ma możliwość „podglądania” użytkowników tych komputerów, czego oczywiście nie robił. Jego zdaniem ludzie, którzy atakują zwykłych użytkowników w takich celach są chorzy na głowę. Odpowiednie osoby już zostały powiadomione, antywirusy juz zaczynają wykrywać zagrożenie, a więcej o OSX/Fruitfly będzie można posłuchać podczas Black Hat Security Conference w Las Vegas. Jeśli obawiacie się o swoje komputery, możecie skorzystać z programu OverSight Wardle'a, by sprawdzić, czy kamera nie jest włączana bez Waszej wiedzy.