I ricercatori di F-Secure hanno scoperto un nuovo malware per Mac il cui scopo è quello di prendere continuamente immagini tramite webcam e registrare l'audio in ingresso, caricandoli poi su un server remoto. La sua particolarità, però, risiede nell’interessante sistema scovato dai pirati per confondere il sistema di sicurezza di Apple.
Non siamo riusciti a scaricare una versione in italiano del malware, ma se doveste imbattervi in un file che riporta "app" nel nome, fareste bene a guardarlo con molto sospetto prima di lanciarlo.
In pratica, il programmino malevolo usa le impostazioni Right-to-Left Override (RLO), ovvero la scrittura dei caratteri da destra a sinistra, per "nascondere" il codice reale. La tecnica era già conosciuta e usata in passato da alcuni virus per Windows e quindi è piuttosto sorprendente che la falla sia ancora aperta su MacOS. Per capire un po' come funziona, basti pensare che il carattere RLC (U+202e in Unicode) è progettato per supportare le lingue che si scrivono da destra a sinistra come l'arabo e l'ebraico.
Il malware analizzato da F-Secure utilizza "Recent New.ppa.pdf" come nome per il file maligno. Guardando l'estensione, si potrebbe pensare che sia solo un banale file pdf, ma si sta aprendo un file eseguibile .APP. A causa del carattere RLC presente nel file maligno, non viene mostrata nessuna notifica di messa in quarantena di tale file da parte del sistema operativo OS X.
L'unica notifica che si vedrà apparire sul display reciterà, tradotta in italiano, quante segue: "RecentNews. Sei sicuro di voler aprire il file pdf? Questa è un'applicazione scaricata da Internet". Una volta che è lanciato, il malware visualizza un documento "esca" mentre silenziosamente installa un codice dannoso nel computer della vittima. Secondo l'F-Secure Malware report, la minaccia è scritta in Python, usa py2app per la distribuzione ed è firmato con un Apple Developer ID.