Allarme malware da Intego. La società specializzata in software per la sicurezza Mac ha lanciato l’avvertimento nel corso della giornata di oggi con un bollettino in cui descrive il funzionamento di un programma, potenzialmente molto pericoloso, denominato OSX/OpinionSpy Spyware.
Il nome del software maligno deriva dalla metodologia di installazione. I pirati informatici inducono gli utenti ad installare OSX/OpinionSpy Spyware avanzando la pretesa di raccogliere informazioni di marketing. L’azione si accompagna al lancio di altri programmi, apparentemente, legittimi quali una lunga serie di screensavers sviluppati da una società denominata 7art-screensavers (http://7art-screensavers.com) e almeno un’applicazione, MishInc FLV, che si scaricano da siti di primaria importanza come MacUpdate, VersionTracker e Softpedia.
Questo l’elenco completo degli screensavers che possono distribuire il malware: Secret Land ScreenSaver v.2.8, Color Therapy Clock ScreenSaver v.2.8, 7art Foliage Clock ScreenSaver v.2.8, Nature Harmony Clock ScreenSaver v.2.8, Fiesta Clock ScreenSaver v.2.8, Fractal Sun Clock ScreenSaver v.2.8, Full Moon Clock ScreenSaver v.2.8, Sky Flight Clock ScreenSaver v.2.8, Sunny Bubbles Clock ScreenSaver v.2.9, Everlasting Flowering Clock ScreenSaver v.2.8, Magic Forest Clock ScreenSaver v.2.8, Freezelight Clock ScreenSaver v.2.9, Precious Stone Clock ScreenSaver v.2.8, Silver Snow Clock ScreenSaver v.2.8, Water Color Clock ScreenSaver v.2.8, Love Dance Clock ScreenSaver v.2.8, Galaxy Rhythm Clock ScreenSaver v.2.8, 7art Eternal Love Clock ScreenSaver v.2.8, Fire Element Clock ScreenSaver v.2.8, Water Element Clock ScreenSaver v.2.8, Emerald Clock ScreenSaver v.2.8, Radiating Clock ScreenSaver v.2.8, Rocket Clock ScreenSaver v.2.8, Serenity Clock ScreenSaver v.2.8, Gravity Free Clock ScreenSaver v.2.8, Crystal Clock ScreenSaver v.2.6, One World Clock ScreenSaver v.2.8, Sky Watch ScreenSaver v.2.8, Lighthouse Clock ScreenSaver v.2.8.
La tecnica perseguita dai pirati è, in un tempo, semplice e astuta. Mentre si prova ad installare gli screensavers e MishInc FLV, appare un pop up che chiede di accettare una ricerca di mercato. Se si preme il tasto “sì” viene caricato sul Mac un programma denominato PremierOpinion che in realtà è uno spyware. In alcuni casi scaricando i file dal sito degli sviluppatori questo avvertimento non appare.
OSX/OpinionSpy è una variante di un malware esistente per Windows da anni, per la precisione dal 2008. Su piattaforma PC effettivamente svolgeva, anche se in maniera molto ambigua, il compito di raccogliere informazioni sulle abitudini dell’utente della macchina su cui veniva collocato, tra cui siti e abitudini di acquisto. Nella versione attuale fa molto altro perseguendo finalità da vero e proprio malware: opera come root e può cambiare i permessi su tutti i file, se si chiude, si riapre da solo usando i servizi launchd, apre una backdoor usando la porta 8254, passa in rassegna tutti i volumi disponibili caricando la CPU e inviando file ad un server remoto, legge i pacchetti in entrata raccogliendo informazioni su tutti i Mac che si connettono in rete, inietta codice in Safari, Firefox ed iChat quando questi sono in memoria (non nell’applicazione in sé) e da questi colleziona una serie di dati personali. Manda intestazioni di messaggi iChat, Url, indirizzi email, ma potenzialmente anche user names, passwords, numeri di carta di credito, bookmarks, storico di navigazione e molto altro, in forma cifrata, ad una serie di misteriosi server remoti. La macchina che viene infettata non è in grado di funzionare correttamente e deve essere riavviata forzandola mediante il tasto di accensione. Infine non è possibile rimuovere lo spyware semplicemente cancellando l’applicazione.
A fronte di quanto appena riferito si comprende che siamo di fronte ad un software potenzialmente molto pericoloso per la privacy; non c’è alcun modo di sapere quali sono i dati raccolti né di sapere come vengono usati. In più è in grado di memorizzare e mandare remotamente dati che mai dovrebbero essere resi pubblici.
Le applicazioni per la sicurezza di Intego sono già state aggiornate per identificare e sradicare OSX/OpinionSpy