Gevaarlijke spyware bedreigt Macs

Het schijnt dat Google heeft besloten voortaan geen Windows meer te gebruiken, omdat andere OS’en als Linux en Mac OS X veel veiliger zouden zijn. Dat nieuws viel niet zo lekker bij Microsoft, maar we mogen aannemen dat daar vandaag weer wat mensen fluitend naar hun werk gaan: beveiliger Intego beweert dat zich op dit moment, via “een aantal vrij verkrijgbare Mac applicaties en screensavers die op verschillende websites te vinden zijn”, een zeer gevaarlijke spyware-toepassing verspreidt die de naam OSX/OpinionSpy heeft gekregen.

De malware, die zich vermomt als “market research program”, is overigens een variant op spyware die al sinds 2008 voor Windows over het web waart. Het probeert allerlei gegevens te verzamelen van alle beschikbare (netwerk) stations, en die gegevens door te sturen naar een aantal servers. Wat er vervolgens mee gebeurt is niet duidelijk, maar veel goeds kan het niet zijn: volgens Intego gaat het om namen, wachtwoorden, creditcardnummers, webbrowser bookmarks en surfgeschiedenis.

Google zou sinds de aanvallen vanuit China, steeds vaker kiezen voor het Apple-platform, omdat het een betere veiligheidsreputatie heeft dan Microsoft Windows. Er duiken echter steeds meer aanwijzingen op dat de voornaamste reden waarom Apple vooralsnog van al te veel grote aanvallen verschoond is gebleven, vooral ligt in het relatief kleine aantal gebruikers. Zowel MacOS, browser Safari, het iPhone OS als het iPad OS bleken in het verleden wel degelijk kleine en grotere veiligheidslekken te hebben. Het lijkt waarschijnlijk dat daar vaker misbruik van zal worden gemaakt, naarmate de gebruikersgroep blijft groeien en er dus meer te halen valt.

De OSX/OpinionSpy spyware opent via poort 8254 een http achterdeurtje, en gebruikt dat om de bijeengesprokkelde gegevens versleuteld te versturen naar een aantal servers via poorten 80 en 443. OpinionSpy controleert bovendien inkomende en uitgaande datapakketjes, en als de gebruiker niet ingrijpt, injecteert het code in Safari, Firefox en iChat, waar het ook persoonlijke gegevens uit meeneemt.

De malware verspreidt zich via verschillende software-sites, waaronder MacUpdate, VersionTracker en Softpedia. Volgens Intego zijn het niet de door de gebruiker binnengehaalde apps of screensavers zelf die besmet zijn, maar wordt de malware gedownload tijdens het installatieproces.

OpinionSpy heeft geen eigen interface en draait als root, maar vraagt volgens Intego wel om het wachtwoord van de administrator tijdens de installatie. Als de gebruiker dat wachtwoord geeft (wat vaak gebeurt omdat er tenslotte op dat moment een installatie van reguliere software wordt uitgevoerd), heeft de spyware daarmee volledige toegangsrechten voor het hele systeem.

Uiteraard heeft Intego zijn anti-spywareproducten bijgewerkt om deze malware tegen te gaan. Naar verwachting zullen collega-leveranciers snel volgen.