Ondřej Holzman Na počítače Mac útočí nový malware, který bez vědomí uživatele pořizuje otisky obrazovky a následně soubory nahrává na pochybné servery. Virus se schovává pod aplikací macs.app. Prozatím však není příliš rozšířen.
Nový typ ohrožení pro uživatele jablečných počítačů byl nalezen na Macu jednoho z účastníků Oslo Freedom Forum, což je mezinárodní konference o lidských právech, kterou každoročně organizuje v Oslu nadace Human Rights Foundation.
Jakmile si macs.app nainstalujete, běží aplikace na pozadí a v tichosti pořizuje otisky obrazovky. Každý pořízený obrázek je skladován ve složce MacApp ve vašem domovském adresáři, odkud jsou soubory nahrávány na securitytable.org a docsforum.inf. Ani jedna doména není dostupná.
[do action=“tip“]Zkontrolujte si, zda se vašem domovském adresáři nenachází složka MacApp (viz obrázek).[/do]
Macs.app může na vašem Macu fungovat kvůli tomu, že na rozdíl od ostatního malwaru má u sebe přiřazené funkční Apple Developer ID, což znamená, že projde přes ochranu Gatekeeper. Identifikační číslo patří jistému Rajenderu Kumarovi a Apple má možnost jeho práva zmrazit, což by patrně znemožnilo také funkčnost viru. Můžeme tedy očekávat brzký zásah kalifornské společnosti.
Dobry vedet. Ale proc bych si to proboha instaloval (je to .app nebo instalacni balicek)?
F-secure is currently investigating the malware to better determine its origin, modes of installation, and how it runs.
Nezjistil jsem, v jaké formě se to přesně stahuje, ale když to máš v počítači, pouští se automaticky při spuštění počítače. Nicméně jestli je třeba to instalovat, to nevim.
Z logiky věci to uživatel spustit musí, jen je otázkou, jestli je to „přibaleno“ k nějaké aplikaci, ať legální nebo cracklé, nebo jestli přijde email typu „Nude pictures of , run me now“ a uživatel to spustí.
Vzhledem k tomu, že to vypadá primitivně (dá se to napsat v AppleScriptu hodně jednoduše) a vzhledem k tomu, že to zapisuje do složky uživatele, nemělo by to potřebovat ani heslo administrátora, ale jen soudím z obrázku a z informací v článku, může to být i jinak :)
Kdyz se to spousti po spusteni, tak bych rekl, ze k instalaci musi dojit (at uz deamonu ci samotne aplikace). Kazdopadne, jak pise DJManas, zapisuje to do slozky uzivatele prave proto, aby nebylo potreba heslo. Spis nechapu, proc to zapisuje do „MacApp“ a ne do „.MacApp“ – tim by si toho nevsiml nikdo, kdo nema zobrazeny skryty soubory (takze 90 % lidi).
V cem vidim vetsi problem je, ze nekdo propujcil vlastni Developer ID, aby to proslo pred GateKeeper – tady musi Apple velmi rychle reagovat a tyhle jedince navzdy bannout. Mozna bych to videl i na nejakou funkci „nahlasit jako spam/virus“ nekde schovany hluboko, aby Apple vzdy, kdyz dostane treba vic nez 1 takovou notifikaci o aplikaci zacal hned resit.
Přiznám se, že nemám svoje oficiální developer ID, ale počítám, že stačí si zřídit email, zaplatit si členství, byť roční za 900,- a uživatel je „live“ a může prasit (pokud to nedává přímo do AppStore), což může někomu přinést uspokojení, ale přesně nevím jak to funguje, prosím opravte mne někdo.
Na druhou stranu uživatelé mohou mít GateKeeper vypnutý, neboť instalují věci z Webu a přiznám se, že i já jsem ho vypnul, neboť mi nenechal nainstalovat nějakou aplikaci, kterou běžně používám, tuším že to tehdy byl OnyX (čerstvě po instalaci 10.8) a nezjišťoval jsem si, jestli už jsou oficiální vývojáři a mohu ho zapnout…
Manželce jsem ho také vypnul, neboť jsem vyvinul pár „appek/scriptů/widgetů“, které používá pouze ona a já a nechtělo mě to nechat nainstalovat na její OSX…
Doporucuju zase Gatekeeper zapnout a v pripade, ze chcete nainstalovat aplikaci, ktera neni podepsana tak staci na balicek/app kliknout pravym tlacitkem a dat Open. Tam je pak moznost pro tento pripad Gatekeeper obejit. Sam to tak delam a prijde mi to bezpecnejsi – muzu instalovat i nepodepsane aplikace ale Gatekeeper porad hlida vse ostatni.
Děkuji, tohle jsem nevěděl