Die Malware blieb über Jahre unentdeckt und wurde noch für das 2014 veröffentlichte OS X 10.10 angepasst.
(Bild: dpa, Apple)
Obwohl die Mac-Malware offenbar schon seit langem aktiv ist, wurde diese erst jüngst in zwei Varianten entdeckt. Der Schädling kann die integrierte Webcam aktivieren, Tastatureingaben mitlesen und Screenshots anfertigen.
Der Sicherheitsforscher Patrick Wardle hat eine neue Variante des Mac-Schädlings “Fruitfly” identifiziert, die offenbar bereits seit Jahren unentdeckt auf Macs läuft. Bei der Analyse der Malware stieß Wardle auf mehrere Backup-Domains, zu denen die Software Kontakt aufnimmt. Nach Registrierung einer der Domains verzeichnete der Sicherheitsforscher innerhalb von zwei Tagen knapp 400 infizierte Macs, die Kontakt mit seinem Server aufnahmen, wie Ars Technica berichtet – den IP-Adressen zufolge stehen die betroffenen Macs überwiegend in Wohnhäusern innerhalb der USA.
Mac-Spyware mit unklarer Motivation
Fruitfly ist unter anderem in der Lage, Tastatureingaben mitzuschneiden und Screenshots anzufertigen – sowie die Webcam des Macs zu aktivieren. Laut Wardle gibt es derzeit keinen Hinweis auf eine finanzielle Motivation: Die Malware versuche weder, Bankzugangsdaten auszuspionieren noch als Erpressungstrojaner Dateien zu verschlüsseln. Der Sicherheitsforscher spekuliert, dass jemand schlicht ein “perverses Interesse” daran gehabt haben könnte, Nutzer auszuspionieren. Zuvor wurde spekuliert, die Spyware ziele auf biomedizinische Forschungseinrichtungen ab.
Der ursprüngliche Command-and-Control-Server wurde schon früher abgeschaltet, erklärt Wardle, der Schädling werde von seinem ursprünglichen Ersteller offenbar nicht mehr verwendet – über die Backup-Domains war eine Kontrolle der Malware aber weiterhin möglich. Inzwischen sollen sämtliche verzeichneten Domains nicht länger zugänglich sein, die Malware wäre damit praktisch neutralisiert. Wardle will weitere Erkenntnisse aus seiner Analyse am Mittwoch auf der Sicherheitskonferenz BlackHat bekanntgeben.
Malware möglicherweise schon sehr lang im Einsatz
Auf welche Weise Fruitfly auf die Macs kam und wie viele weitere Geräte den Schädling letztlich unbemerkt installiert hatten, bleibt unklar. Eine zu Jahresanfang aufgespürte Variante von Fruitfly enthielt noch Funktionen, die aus Zeiten vor Mac OS X stammen – das Betriebssystem erschien im Jahr 2000 als öffentliche Beta. Die Malware verwies der Analyse zufolge noch auf eine Anpassung für OS X 10.10 Yosemite, das Update erschien im Herbst 2014. Apple blockiert seit Januar das Öffnen dieser Fruitfly-Variante durch die in macOS integrierte Schutzfunktion XProtect.
- In einem ausführlichen Sicherheitsschwerpunkt in Mac & i Heft 4/2017 erfahren Sie, wie man iOS und macOS absichert. Die neue Mac & i ist ab dem 3. August im Zeitschriftenhandel erhältlich.