Notářsky ověřená aplikace krade soubory z macOS. Je rafinovanější než kdy dříve

Uživatelé Apple počítačů čelí nové, leč mimořádně nenápadné hrozbě. Škodlivý software se vydává za běžnou aplikaci a bez varování obchází i vestavěné zabezpečení macOS.

Pexels

Zdánlivě obyčejná aplikace určená k instalaci běžné komunikační služby je ve skutečnosti propracovaným nástrojem pro krádež dat, který bez obtíží zvládne obejít i vestavěnou ochranu systému macOS. Redakce Mobify zaregistrovala, že útočníci spoléhají na důvěru uživatelů v digitální podpisy a „ověřené“ aplikace.

MacSync je maskovaný za notářsky ověřenou appku

Experti odhalili novou variantu tzv. infostealeru (špionážní software, který krade osobní a citlivé informace, vysvětluje ESET) s názvem MacSync. Malware cílí na počítače Apple a je šířený v podobě notářsky ověřené aplikace napsané ve Swiftu, tedy programovacím jazyku Applu, uvádí Wikipedia. Oproti starším verzím je to rozdíl, protože ji tak systém považuje za bezpečnou a neblokuje její spuštění.

Aplikace je distribuována v souboru typu DMG (instalační obraz disku) a tváří se jako běžný instalační soubor chatovací služby. Jelikož má platný podpis, bez potíží obejde ochrany jako Gatekeeper nebo XProtect, které mají uživatele před podobnými hrozbami chránit.

Malware si nejprve ověří, zda má volnou cestu

Jakmile spustíte instalační soubor, malware nejprve nenápadně ověří, jestli má vaše zařízení přístup k internetu a zda nebyl spuštěný příliš brzy po předchozím pokusu (čeká zhruba hodinu). Následně odstraní tzv. karanténní příznaky, tedy označení, že soubor pochází z internetu, a stáhne další, skrytý škodlivý skript, uvádí theHackerNews.

Ten je zakódovaný v Base64 a teprve po rozbalení se ukáže, že jde o MacSync, přejmenovanou a vylepšenou verzi staršího malwaru Mac.c, poprvé zaznamenaného na jaře 2025. Podle expertů z Moonlock Lab obsahuje aplikace zkrátka agenta, který umožňuje útočníkům vzdáleně počítač ovládat, nejen krást soubory.

Jedním z triků, aby si uživatel nevšiml ničeho divného, je i zbytečně velká velikost instalačního souboru (přes 25 MB), do kterého jsou přidány nesouvisející PDF dokumenty. To ztěžuje odhalení malwaru. Útočníci navíc změnili způsob stahování dat, aby se vyhnuli bezpečnostním nástrojům, které hledají podezřelé vzorce chování.

Apple sice dodatečně zrušil certifikát, kterým byla aplikace podepsaná, ale škody už mohly být napáchány. Digitální podpis už sám o sobě prostě není zárukou bezpečnosti. Doporučujeme instalovat software pouze z oficiálních zdrojů, sledovat neobvyklé chování systému a používat doplňkové bezpečnostní nástroje.