Новое шпионское ПО для Mac было обнаружено на этой неделе на компьютере Oslo Freedom Forum, ежегодной конференции по правам человека. Исследователь компьютерной безопасности Джейкоб Эппелбаум обнаружил вредоносное ПО, которое получило название OSX/KitM.A. В настоящее время оно исследуется антивирусной компанией F-Secure, как сообщает CNET.

Вредоносное ПО представляет собой бэкдор-приложение под названием «macs.app», которое запускается автоматически при входе в систему и делает снимки экрана, а затем отправляет их в папку MacApp в домашнем каталоге пользователя. С вредоносным ПО связаны два командно-контрольных сервера, расположенных по адресам securitytable.org и docsforum.info, но один из них не функционирует, а другой выдает сообщение «public access forbidden».

Интересно, что вредоносное ПО подписано с использованием Apple Developer ID, предназначенного для предотвращения установки вредоносного ПО. Приложения без подписи блокируются по умолчанию функцией безопасности Gatekeeper от Apple.

Данное вредоносное ПО несколько уникально тем, что оно подписано, по-видимому, действительным Apple Developer ID, связанным с именем Раджендер Кумар. Хотя имя не является редким, это может быть отсылкой к покойному актеру Болливуда с похожим именем. В любом случае, использование идентификатора, похоже, является попыткой обойти технологию предотвращения выполнения Gatekeeper от Apple.

В настоящее время F-Secure выясняет происхождение вредоносного ПО, и хотя оно не кажется широко распространенным, его распространение можно ограничить, удалив программу macs.app из меню входа в систему. Apple часто быстро реагирует на угрозы вредоносного ПО и может отозвать идентификатор разработчика, чтобы еще больше ограничить распространение программного обеспечения.