Két éve senkinek nem tűnt fel ez a Mac-es vírus

A Calisto trójai már két éve terjed a Mac OS X, illetve a macOS alapú számítógépek között anélkül, hogy mindez bárkinek feltűnt volna. A kártevő a napokban bukott le.
 

Noha a vírushírek közé az Apple platformjait veszélyeztető kártékony programok viszonylag ritkán kerülnek be, de azért közbe-közbe feltűnik egy-egy olyan ártalmas példány, amik odafigyelést igényelnek. Egyúttal azt is szemléltetik, hogy azért az Apple operációs rendszerei sem kerülik el teljes mértékben a kiberbűnözők, vírusírók figyelmét.
 
A Kaspersky Lab kutatói által a napokban felfedezett Calisto trójairól akár azt is gondolhatnánk, hogy egy újszülött a Mac-es világban, de a helyzet ennél bonyolultabb. Kiderült ugyanis, hagy a károkozót valaki 2016-ban már feltöltötte a VirusTotalra egy fájlellenőrzés során. Vagyis legalább azóta létezik a szerzemény.
 
A Calisto alapvetően kémprogramokra jellemző sajátosságokkal rendelkezik, ilyen módon a célja, hogy minél több felhasználói adatot szivárogtasson ki a számítógépekről. Ehhez pedig megtévesztő trükköket is bevet. Ezek közül a legfontosabb, hogy jelenleg az Intego Internet Security X9 alkalmazás nevével él vissza, és ilyen módon próbál a felhasználó bizalmába férkőzni. Az eredeti alkalmazásra nagyon hasonlító felülettel rendelkezik.
   
A trójait elemző víruskutatókban felmerült a kérdés, hogy az Apple által 2015-ben bevezetett SIP (System Integrity Protection) védelem mennyiben képes gátat szabni a Calisto ténykedésének. Sajnos teljes mértékben nem tudja útját állni, de azért némileg csökkenti a kockázatokat.
 
Amikor a Calisto egy olyan rendszerre kerül fel, amelyen a SIP támogatott és engedélyezett, akkor egy rejtett könyvtárba másolja be a saját állományait, és ugyanide menti le a felhasználó által megadott felhasználóneveket, jelszavakat, a hálózati kapcsolatok adatait, illetve a Google Chrome webböngésző által tárolt legfontosabb információkat (előzmények, könyvjelzők, cookie-k). Amennyiben viszont a SIP nem teljesít szolgálatot, akkor a „/System/Library/” könyvtár alá kerül a károkozó, és gondoskodik az automatikus betöltődéséről. Ezt követően bizalmas adatok összegyűjtésébe kezd, és csatlakozik egy vezérlőszerverhez. Ezzel egyúttal egy hátsó kaput is létesít a számítógépen, amelyen keresztül jogosulatlan hozzáférést biztosít.
 
A biztonsági kutatók szerint a Calisto nagymértékben hasonlít a 2017-ben megjelent Proton trójaihoz, amely szintén Mac-es kémkedésre specializálódott. Nem zárható ki az sem, hogy a két kártevő ugyanattól a vírusíró csoporttól származik. A kockázatokat fokozza, hogy a Calistoban vannak olyan funkciók (egyesek még nem teljesen kiforrottak), amiket a támadók a későbbiekben bevethetnek. Így például a trójai tartalmaz rejtett kernel kiegészítéseket, további adatlopó komponenseket és rombolásra alkalmas összetevőket is.