Mac: kémkedik egy hamis pénzügyi alkalmazás

​Egy olyan Mac-es trójai programról hullt le a lepel, amely egy pénzügyi alkalmazásnak álcázza magát, miközben adatokat lop.
 

A macOS operációs rendszerrel kompatibilis kártékony programok továbbra is jóval kisebb számban terjednek, mint a Windows-os társaik. Ennek ellenére azt nem lehet kijelenteni, hogy az Apple platformjáról teljesen megfeledkeztek volna a kiberbűnözők. Nem hagyják figyelmen kívül, hogy sokan használnak Mac-gépeket, amelyeken ráadásul gyakorta értékes adatokat találhatók. Így aztán közbe-közbe elbukkannak olyan trójai és kémprogramok, amelyek a macOS alapú számítógépekre, illetve az azokon tárolt adatokra jelentenek veszélyt. Ezek legutóbb felfedezett képviselője a Gmera nevet viseli.
 
A kártékony programot elsőként a Trend Micro biztonsági kutatói mutatták ki. Eddig két variánst lepleztek le, amelyek alapvetően ugyanazt a célt szolgálják: értékes, bizalmas adathoz juttatni a vírusterjesztőket.
 
A vírusírók ezúttal is igyekeztek mindent bevetni annak érdekében, hogy a felhasználókat minél nagyobb valószínűséggel tudják megtéveszteni a számítógépek fertőzése során. A Gmera esetében úgy határoztak, hogy az amúgy teljesen legitim és ártalmatlan Stockfolio alkalmazás ismertségével élnek vissza. Egy olyan telepítőcsomagot állítottak össze, amelyben az eredeti szoftver is megtalálható volt némi oda nem illő kóddal egyetemben. Mindezt pedig egy ZIP-fájlba csomagolták, és egy saját digitális tanúsítványt is mellékeltek.  
Amennyiben a felhasználó ezt a telepítőt elindítja, akkor a számítógépére felkerül a Stockfolio alkalmazás, amely teljes körűen használható, és így nem kelt gyanút a számítógép tulajdonosában. Csakhogy a háttérben olyan műveletek indulnak, amelyek egyebek mellett az alábbi adatok összegyűjtésére irányulnak:
- felhasználónév
- IP-cím
- operációs rendszer telepítési dátuma
- fájllisták
- tárterület mérete
- grafikus vezérlőre vonatkozó információk
- elérhető WiFi-hálózatok paraméterei.
 
A fentiek mellett a Gmera képernyőképek lementésére is alkalmas, ami további adatbiztonsági kockázatokat vet fel. Amikor pedig a károkozó minden adatot begyűjt, akkor azokat lementi a tmp mappába egy általa létrehozott fájlba (Base64 kódolással). Ezt az állományt pedig egy távoli vezérlőszerverre tölti fel (egy egyszerű, PHP-alapú weboldal segítségével).
 
A Gmera második variánsa is hasonló célokat dédelget, mint az elődje. Azonban ez egyszerűbb, letisztultabb, mint az első változat. Ugyanúgy a Stockfolio mögé rejtőzik el, de minden tízezredik másodpercben elindít egy parancssoros felületet (reverse shell-t), amin keresztül a támadók tetszőleges parancsokat hajthatnak végre.
 
A Trend Micro szerint a Gmera károkozását leginkább azzal lehet megelőzni, hogy a Stockfolio alkalmazást a szoftver hivatalos weboldaláról töltjük le. Emellett persze érdemes a Mac-ek vírusvédelmére is figyelmet fordítani.