Intego ha scoperto un’applicazione spyware che viene installato da una serie di applicazioni distribuite gratuitamente per Mac e screen saver trovato su una varietà di siti web. Questo spyware, OSX / OpinionSpy, svolge una serie di azioni pericolose, dalla scansione dei file per l’attività di registrazione degli utenti, così come l’invio di informazioni su questa attività a server remoti e l’apertura di una backdoor sui Mac infetti.
OSX / OpinionSpy viene installato da una serie di applicazioni e screen saver che vengono distribuiti su siti come MacUpdate, VersionTracker e Softpedia. La stessa spyware non è contenuta in queste applicazioni, ma viene scaricato durante il processo di installazione.Ciò dimostra la necessità di un programma up-to-date anti-malware con uno scanner in tempo reale che in grado di rilevare questo malware si when is scaricato da installer dell’applicazione originale.
Le informazioni fornite con alcune di queste applicazioni contiene un testo ingannevole che gli utenti devono accettare spiegando che uno “ricerca di mercato” il programma è installato con loro, ma non tutti questi specificarlo. Alcuni di questi programmi sono anche distribuiti direttamente da siti web developers ’senza alcun avvertimento del genere.
Il malware, una versione che esiste per Windows dal 2008, sostiene di raccogliere le informazioni di navigazione e di acquisto che viene utilizzato nelle relazioni di mercato.Tuttavia, questo programma fa molto di più, eseguendo una serie di azioni insidiose, che hanno portato Intego di classificare come spyware.
OSX / OpinionSpy esegue le seguenti operazioni:
- Questa applicazione, che non ha l’interfaccia, viene eseguito come root (è richiesta una password di amministratore per l’installazione) con pieni diritti di accesso e di modificare qualsiasi file sul computer dell’utente infetto.
- Se per qualsiasi motivo, l’applicazione smette di correre, è rilanciata attraverso launchd, l’applicazione a livello di sistema e il servizio di lancio impianto.
- Si apre una backdoor tramite la porta HTTP 8.254.
- Esamina tutti i volumi accessibili, l’analisi dei file, e utilizzando una grande quantità di tempo di CPU. Non è chiaro quali dati copia e invia ai suoi server, ma analizza i file su entrambi i locali e volumi di rete, aprendo potenzialmente un gran numero di file riservati su una rete di intrusione.
- Esso analizza i pacchetti in ingresso e uscita dalla infetto Mac in una rete locale, analizzando i dati provenienti da e vengono inviati ad altri computer. Un Mac infetti può quindi raccogliere una grande quantità di dati provenienti da diversi computer in una rete locale, come a titolo professionale o scolastico.
- Si inserisce il codice, senza l’intervento dell’utente, in Safari, Firefox e iChat, e copia i dati personali da tali applicazioni. l’iniezione di codice è una forma di comportamento simile a quello di un virus, e questo malware “infettare” le applicazioni quando sono in esecuzione per poter svolgere le sue operazioni. (Infetta il codice delle applicazioni ‘nella memoria del Mac, e non infettano i file delle applicazioni reali’ sul disco rigido dell’utente.)
- Si invia regolarmente i dati, in forma criptata, a un certo numero di server che utilizzano le porte 80 e 443. Si invia i dati a questi server i file su di esso ha acquisito a livello locale, e manda anche indirizzi e-mail, le intestazioni dei messaggi iChat e gli URL, così come altri dati. Questi dati possono contenere dati personali, quali nomi utente, password, numeri di carte di credito, preferiti del browser web, la storia e molto altro ancora.
- Dato il tipo di dati che raccoglie, l’azienda dietro a questo spyware in grado di memorizzare un registro dettagliato degli utenti, le loro abitudini, i loro contatti, la loro ubicazione e molto altro.
- La domanda può essere aggiornato automaticamente, con nuove caratteristiche aggiunte, senza alcun intervento dell’utente e senza che l’utente ne sia consapevole.Si chiede di tanto in tanto per le informazioni agli utenti, attraverso la visualizzazione di finestre di dialogo, come il loro nome, o chiede loro di compilare sondaggi.
- In alcuni casi, i computer con questo spyware installato non funzionano più correttamente dopo un certo periodo di tempo, è necessario Mac forza-reboot del genere.
- Se un utente elimina la domanda originale o screen saver che ha installato questo spyware, lo spyware si è installato e rimarrà continuare ad operare.
Come si vede sopra, questo programma che pretende di raccogliere informazioni per ragioni di marketing fa molto di più, andando per quanto riguarda la scansione di tutti i file su un Mac infetti. Gli utenti non hanno modo di sapere esattamente quali dati vengono raccolti e inviati ai server remoti, tali dati possono includere i nomi utente, password, numeri di carta di credito e altro ancora. Il rischio di questi dati vengono raccolti e utilizzati senza il permesso degli utenti fa ‘questo spyware particolarmente pericolosi per la privacy degli utenti’.
Il fatto che questa applicazione raccoglie i dati in questo modo, e che apre una backdoor, lo rende una minaccia molto seria. Inoltre, i rischi di tale raccolta di dati sensibili quali nomi utente, password e numeri di carte di credito, fa di questo uno spyware ad altissimo rischio. Mentre la sua distribuzione è limitata, si avvisano gli utenti Mac di prestare molta attenzione a quali software si scarica e installa.
