Fruitfly: Otkriven novi backdoor za Mac

Opisi virusa, 20.01.2017, 00:30 AM

Istraživači iz kompanije Malwarebytes analizirali su backdoor za Mac koji se detektuje kao OSX.Backdoor.Quimitchin i za koga se veruje da je prisutan godinama, ali da nikada ranije nije označen kao posebna familija malvera.

OSX.Backdoor.Quimitchin koga je Apple nazvao Fruitfly može da pravi snimke ekrana i pristupa web kameri računara. Ako dobije komandu da to uradi, on može da otkrije veličinu ekrana i poziciju kursora miša, da promeni poziciju kursora miša, simulira klikove mišem i kucanje po tasterima. Sve ovo se može iskoristiti za daljinsku kontrolu nad računarom.

Malver može da preuzme i dodatne skripte i fajlove sa C&C servera. Jedna od njih se koristi da se napravi mapa svih uređaja na lokalnoj mreži i dođe do informacija o njima. Druga skripta služi za konekciju na druge uređaje u lokalnoj mreži.

Malver koristi starinske sistemske pozive koji datiraju iz vremena pre OS X. Fruitfly koristi libjpeg biblioteku koja datira iz 1998.

Osim toga, u kodu se nalazi komentar koji ukazuje da je promena napravljena za Yosemite (Mac OS X 10.10), koji je objavljen oktobra 2014. Ovo ukazuje da je malver još iz vremena pre objavljivanja Yosemite.

Ipak, starost koda ne mora da odgovara starosti malvera. Moguće je da hakeri ne poznaju dovoljno Mac i da se oslanjaju na staru dokumentaciju. Isto tako oni mogu koristiti stare sistemske pozive da bi izbegli detekcije ponašanja koja se mogu očekivati od novijeg koda.

Stručnjaci Malwarebytes probali su malver na Linuxu i radio je. Oni smatraju da to ukazuje da možda postoji posebna verzija za Linux, mada je oni nisu pronašli.

Zanimljivo je i da C&C serveri ovog malvera koriste neke Windows izvršne fajlove koji su podneti Virus Totalu još 2013.

Jasno je da se ovaj Mac backdoor retko koristio. Jedno objašnjenje za to je da je malver korišćen za ciljane napade.