Apple ponownie wpuszcza złośliwe oprogramowanie Mac do App Store

Apple po raz drugi zatwierdziło złośliwe oprogramowanie dla komputerów Mac w App Store w ciągu zaledwie sześciu tygodni. Trzeba przyznać, że złośliwe oprogramowanie z rodziny OSX/MacOffers (lub MaxOfferDeal) po raz kolejny zostało dobrze ukryte. Ale nowa sprawa pokazuje, jak dogłębne aplikacje muszą być analizowane, aby wykluczyć złośliwe oprogramowanie i utrzymać App Store tak bezpieczny, jak powinien być dla użytkowników Apple. W tym poście znajdziesz szczegóły dotyczące aktualnej sprawy, a także link do szczegółowego spojrzenia na Trojanyoprogramowanie dla macOS.

Koń trojański z App Store może znajdować się u bram komputera Apple Mac w postaci instalatora Flash Player. Możesz przeczytać tutaj, jak złośliwe oprogramowanie OSX/MacOffers przedostało się przez Apple i trafiło do sklepu.
Koń trojański z App Store może znajdować się u bram komputera Apple Mac w postaci instalatora Flash Player. Możesz przeczytać tutaj, jak złośliwe oprogramowanie OSX/MacOffers przedostało się przez Apple i trafiło do sklepu.

Nowe złośliwe oprogramowanie OSX/MacOffers jest trudne do wykrycia

Mac App Store, podobnie jak iOS App Store, został zaprojektowany jako bezpieczne źródło oprogramowania. Niezależnie od tego, czy chodzi o Maca, iMaca, MacBooka, iPhone'a, Apple Watch, iPada czy iPoda touch – oferowane aplikacje powinny zapewniać użytkownikom doskonałe wrażenia. Ale jak Intego w tym momencie pokazuje, że Apple nie mogło dotrzymać tej obietnicy. Pół tuzina trojanów zostało przemyconych z pominięciem mechanizmów kontroli bezpieczeństwa.

Jak donosi Intego, nowy szkodliwy program z rodziny OSX/MacOffers (lub MaxOfferDeal) nie jest tworzony przez VirusTotal wytropiony. Wszystkie sześć plików obrazów dysków (.dmg), jak również pierwsza aplikacja trojana tego szkodliwego oprogramowania miały wskaźnik wykrywalności 0% w serwisie VirusTotal, kiedy zostały przesłane po raz pierwszy między 6 a 13 października. Tymczasem próbka drugiego etapu została wykryta tylko przez 4 z 60 silników antywirusowych VirusTotal.

Manipulowany plik JPEG zawiera złośliwe oprogramowanie na komputery Mac

Nowe złośliwe oprogramowanie wykorzystuje technikę o nazwie steganografia (tajne pisanie), aby ukryć swoje fragmenty złośliwego oprogramowania w osobnym pliku obrazu JPEG. Prawdopodobnie dlatego złośliwe oprogramowanie było w stanie przejść przez proces uwierzytelniania Apple. W obecnym przypadku aplikacja zawierała na obrazie dysku plik JPEG, co na pierwszy rzut oka jest normalne i nieszkodliwe. Zawiera jednak zaszyfrowane w Base64 archiwum ZIP, które z kolei zawiera rzeczywiste złośliwe oprogramowanie.

Według Intego zabieg ten, czyli steganografię, zaobserwowano już kilkakrotnie w przeszłości. Złośliwe oprogramowanie trafiło w ten sposób do Mac App Store już w 2011 roku – w postaci podróbek „MacDefender”. Jednak niektóre przypadki tego podejścia zaobserwowano również w 2019 roku. Niebezpieczna rzecz w tym: jeśli Apple zezwala na oprogramowanie załadowane do App Store, można je zainstalować lub uruchomić po prostu przez dwukrotne kliknięcie. Różni się to od aplikacji pobieranych z Internetu, gdzie ostrzeżenia i powiadomienia czasami pojawiają się kilka razy. 

Jak OSX/MacOffers trafia na Apple Mac?

Raport Intego, do którego link znajduje się powyżej, pokazuje oszustwo wykorzystywane do przemycania szkodliwego oprogramowania na komputer Apple Mac – za pośrednictwem rzekomego pobrania „Adobe Flash Player”. Najwyraźniej użytkownicy pobierają instalator Flash Playera, który zawiera obraz dysku w formacie DMG. Po uruchomieniu przez dwukrotne kliknięcie ten obraz nośnika pamięci jest montowany i uruchamiany. Plik JPEG jest również odkrywany, a zawarte w nim archiwum ZIP zostaje wyodrębnione.

Dla wszystkich powinno być jasne, że w 2020 r. żadna renomowana strona internetowa nie będzie nadal wymagała pobrania Adobe Flash Playera ani aktywnie go oferowała (na przykład poprzez linkowanie do App Store lub strony Adobe). Flash Player zostanie całkowicie wyrzucony pod koniec roku. Nie jest już obsługiwany przez niektóre przeglądarki internetowe. Szczegóły znajdziesz w tym poście z 2017 roku: Wtyczka Flash Player wygasa w 2020 r. – Adobe ogłasza „koniec życia”. 

Wiadomość z czerwca 2020: Złośliwe oprogramowanie podszywające się pod instalator flasha

Więcej informacji można znaleźć w poście Intego, do którego link znajduje się powyżej. Test oprogramowania antywirusowego tego dostawcy można znaleźć tutaj: Recenzja Intego Mac Internet Security X9.

Skontaktuj się z Intego - czy antywirus znajduje to złośliwe oprogramowanie?

Z ciekawości zapytałem Intego, czy ich program „Zabezpieczenia internetowe Maca X9” znalazłby również złośliwe oprogramowanie, gdyby było ono osadzone w oprogramowaniu zainstalowanym za pośrednictwem App Store. Odpowiedź nadeszła błyskawicznie:

Cześć Jens, oczywiście wykrywamy go jako jakikolwiek podejrzany plik ;-) poświadczony notarialnie lub nie, analizujemy kod pliku i decydujemy, czy jest to złośliwe oprogramowanie, czy nie. Tak więc aplikacje poświadczone notarialnie Apple nie są bezpieczne przed zainfekowaniem przez złośliwe oprogramowanie. Pozdrawiam Jack

Nawet jeśli ja osobiście wciąż bez oprogramowania antywirusowego Jestem, z raportami takimi jak ten czasami zastanawiam się, czy należy je zarezerwować.

Podobał Ci się artykuł i czy instrukcje na blogu Ci pomogły? Wtedy byłbym szczęśliwy, gdybyś bloga poprzez stałe członkostwo będzie wspierać.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone * oznakowane

Na blogu Sir Apfelot znajdziesz porady, instrukcje i recenzje produktów Apple, takich jak iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini i Mac Studio.

Promocje