C’è un malware che cattura schermate dal Mac e le manda ad un server remoto, ma la sua vita potrebbe essere brevissima. A raccontare la storia è C/Net in un articolo pubblicato questa sera.
“OSX/KitM.A” (questo il nome del malware) è stato individuato per la prima volta su un computer di un partecipante ai lavori del Freedom Forum di Oslo sui diritti umani e ha un funzionamento particolare. Un’applicazione backdoor denominata “macs.app” viene avviata automaticamente al login, cattura schermate e le manda a una cartella denominata “MacApp” che si trova all’interno della cartella home dell’utente da dove, nel momento opportuno, possono essere inviate ai domini securitytable.org e docsforum.info.
Particolarità interessante è che l’applicazione-backdoor è firmata con l’Apple Developer ID, la certificazione che dovrebbe garantire che le applicazioni non siano portatrici di malware o non siano in qualche modo manomesse per scopi non espressamente indicati dallo sviluppatore. Le applicazioni non firmate, per default non possono essere avviate sulle ultime versioni di OS X (per funzionare è necessario modificare espressamente le impostazioni di sicurezza dalla sezione “Sicurezza e privacy” delle Preferenze di Sistema). L’Apple Developer ID assegnato al malware sembra essere legato a uno sviluppatore identificato come “Rajender Kumar” che potrebbe essere un nome falso visto che ammicca agli attori protagonisti delle saghe cinematografiche indiane. L’ID è stato ovviamente utilizzato per scavalcare il Gatekeeper, il meccanismo che consente in OS X l’installazione di app solo se queste provengono da una fonte sicura.
Il malware non sembra avere alcuna diffusione; la rimozione è ad ogni modo decisamente banale: basta eliminare l’applicazione “macs.app” dalla sezione “Elementi login” di “Utenti e gruppi” nelle Preferenze di Sistema. Apple normalmente elimina sul nascere questi problemi, grazie a un meccanismo “antivirus” integrato in OS X che permette di bloccare software malevoli. È probabile che nel giro di poche ore, sarà anche revocato il Developer ID impedendo l’esecuzione del malware.
Intanto F-Secure, un’azienda specializzata in sicurezza, sta indagando