Attenzione a Janicab.A, uno spyware per OS X piuttosto sofisticato chee sfrutta uno speciale carattere Unicode per nascondere il vero nome dell’estensione del file, ingannando l’utente che potrebbe erroneamente scambiarlo per un PDF.
Il malware – stando a quanto riportano i ricercatori di F-Secure – è scritto in Python e distribuito come un package indipendente sfruttando l’utility py2app. Il file è distribuito con il nome “RecentNews.?fdp.app”: il “?” corrisponde al right-to-left override (RLO) noto come U+202E secondo lo standard di codifica Unicode, un carattere speciale che normalmente permette di avvisare il sistema in merito al sistema di scrittura utilizzato.
L’Unicode supporta caratteri in varie lingue, incluse quelle scritte da destra verso sinistra come l’arabo e l’ebraico; il carattere speciale RLO informa il sistema che il testo a seguire deve essere visualizzato da sinistra verso destra. Il file manager di OS X consente l’utilizzo di una doppia estensione; in questo caso l’uso dello speciale carattere RLO inganna l’utente visualizzando “pdf” al posto di “fdp” e l’utente è dunque potrebbe essere tratto in inganno credendo di avere a che fare con un pdf anziché con un’applicazione. Il trucco non è nuovo ed è stato usato in passato anche da alcuni malware per Windows.
Avviata l’app con il malware Janicab.A, questa presenterà il classico messaggio di avviso che l’app è pericolosa essendo stata scaricata da internet. Per via dell’utilizzo del carattere in questione, il messaggio in questione apparirà tuttavia al contrario (da destra verso sinistra) rendendo il testo difficile da leggere. Se l’utente conferma l’apertura del file, il malware s’installerà in una cartella nascosta nella cartella home dell’utente, aprendo un PDF che funge da trappola (un apparente articolo con news scritte in russo). Il malware cattura continuamente schermate, registra l’audio e carica i dati raccolti a un server di comando e controllo sfruttando il parsing nella descrizione di alcuni video su YouTube e restando in attesa di comandi da eseguire. Il malware sembra avere come target alcuni utenti specifici, ma i ricercatori non hanno ancora ben compreso quali questi siano. L’installer del malware è firmato digitalmente con un certificato, un Apple Developer ID rilasciato da Apple a una persona denominata “Gladys Brady”. Cupertino probabilmente entro poche ore revocherà probabilmente il certificato, rendendo inutilizzabile il malware.
A maggio di quest’anno era stato scoperto un altro malware che catturava schermate; “OSX/KitM.A” (questo il nome del malware) era stato individuato per la prima volta su un computer di un partecipante ai lavori del Freedom Forum di Oslo sui diritti umani.
