Mehr Details zu Mac-Spionage-Malware „FruitFly“ – und „FruitFly 2“

Florian Matthey 3

Steigende Marktanteile haben den Mac für Malware-Entwickler interessanter gemacht. „FruitFly“ ist besonders beunruhigend: Die Spionage-Software blieb jahrelang unerkannt. Jetzt gibt es auch Details zu einer zweiten Version.

Mehr Details zu Mac-Spionage-Malware „FruitFly“ – und „FruitFly 2“

FruitFly und FruitFly 2 spionieren Mac-Benutzer aus

Motherboard berichtet über eine mysteriöse Malware namens „FruitFly“, die das Sicherheitsunternehmen Malwarebytes schon Anfang des Jahres auf mehreren Macs entdeckt hatte. Der Ex-NSA-Hacker Patrick Wardle hat eine zweite Version der Malware aufgespürt und getestet.

Besorgniserregend ist, dass Anti-Viren-Scanner weder FruitFly noch FruitFly 2 als Malware auf infizierten Systemen entdeckten – obwohl die Malware-Versionen offenbar schon seit fünf, vielleicht sogar seit zehn Jahren die Runde machen. Für Kopfzerbrechen sorgt außerdem die Frage, woher die Malware stammt und wie sie überhaupt auf die infizierten Rechner kommt: Für eine von staatlichen Hackern entwickelte Malware sei sie nicht ausgereift genug, außerdem scheint sie sich nicht auf „wichtige“ Opfer wie Unternehmen oder staatliche Organisationen zu spezialisieren.

MacBook Pro 2016: Touch Bar im Test.

Die FruitFly-Versionen können offenbar Tastatureingaben überwachen, den Display-Inhalt von infizierten Rechnern einsehen und sogar die Daten der Kamera eines Macs abrufen. Auch ist eine Fernsteuerung des Macs möglich – inklusive einer Warnfunktion, die den Angreifer informiert, dass der Benutzer damit beginnt, wieder die Maus oder die Tastatur zu bedienen.

Bilderstrecke starten
20 Bilder
Die 18 besten Easter Eggs auf Mac und iPhone.

Malware erlaubt Fernsteuern des Mac

Wardle hat die Malware analysiert und erkannt, dass sie versucht, eine Verbindung zum primären Hacker-Server und zahlreichen weiteren Server, die als Backup dienen, aufzubauen. Er selbst hat einen solchen Backup-Server erstellt, um zu überprüfen, wie die Malware funktioniert und welche Daten sie übermittelt. Allerdings erwartete er nur, dass sich der von ihm infizierte virtuelle Rechner mit diesem Server verbindet. Stattdessen stellten nach einer gewissen Zeit 400 weitere Rechner eine Verbindung her; all diese Rechner hätte er dann fernsteuern und von ihnen Daten auslesen können.

Das Fazit des Ex-NSA-Hackers lautet: Offenbar ist FruitFly nicht dafür gemacht, massenweise Daten wie Kreditkarteninformationen und Passwörter auszulesen. Stattdessen geht es bei der Malware darum, gezielt Zugriff auf den Rechner eines individuellen Benutzers zu bekommen und von diesem Daten zu stehlen.

In erster Linie nordamerikanische Benutzer betroffen

Die amerikanische Bundespolizei FBI sei mittlerweile informiert; Apple selbst verweist auf die Ermittlungen der Behörden. Wie es passieren kann, dass die Malware jahrelang unentdeckt blieb, ist weiterhin völlig unklar. Möglicherweise liegt es auch daran, dass sich Mac-Benutzer über viele Jahre so sicher fühlten. Zumindest gibt es hierzulande einen kleinen Grund zur Entwarnung: 90 Prozent der betroffenen Rechner sollen sich in den USA und Kanada befinden.

Die kostenlose Software von Malwarebytes erkennt die Malware als „OSX.Backdoor.Quimitchin“, der Name „FruitFly“ stammt von Apple. Auch Apple selbst dürfte seine Malware-Definitionen erneuert haben oder dies zumindest bald tun.

Quelle: Motherboard

Zu den Kommentaren

Kommentare zu dieser News

* Werbung