Nem új a trükk, mégis hatásos: a kiberbűnözők úgy fertőzik meg Mac OS X-et, hogy abban a felhasználó is aktívan segít. Csak épp azt nem tudja, hogy károkozót telepít.

Bevett módszer a vírusterjesztésre, hogy a károkozót álcázzák, például egy ismert és elterjedt alkalmazásként láttatják a felhasználónak. Ez a módszer bármilyen platformon működőképes, van is rá számos példa, hogy a módszerrel kiterjedt fertőzéseket tudtak okozni. Még az olyan programok, mint az androidos okostelefonokat veszélyeztető Lockdroid is használja a megtévesztéses módszert. Miért lenne kivétel egy Mac?

Flash Player mögé bújik

A Mac OS X-re szakosodott Reimage is álcázza magát. A felhasználó Flash Player-frissítésnek gondolhatja, és simán telepíti – írja összefoglalójában a Biztonságportál.

A támadás azzal indul, hogy a kijelzőn megjelenik egy ablak, ami felszólít a Flash Player frissítésére. (ez jó hívószó, hiszen a Flash Player valóban tele van sérülékenységekkel, amiket rengeteg kibertámadásban használtak már fel). Ha a gép tulajdonosa a frissítést választja, először elindul egy hamis – Adobe Flash Playerre emlékeztető – telepítő, amely valójában a Reimage-et teszi fel a gépre. A kéretlen program elterelő hadműveletként azonban a Flash Player eredeti telepítőjét is elindítja, így a felhasználó valóban azt gondolhatja, hogy minden rendben van. A Reimage pedig elkezdi munkáját a háttérben. (A folyamatról lásd az alábbi videót.)

A Reimage önmagában nem képes károkat okozni. Jelenléte azonban amellett, hogy bosszantó, a felhasználó pénztárcáját is apaszthatja néhány dollárral: különféle rendellenességekre hívja fel a gép tulajdonosának a figyelmét, amiknek a kijavításához telefonos támogatást ajánl fel – pár dollárért. Persze a hibákat a Reimage csak bekamuzza, Johannes Ullrich, a SANS biztonsági kutatója a például egy nulláról felhúzott Macen is lefuttatta, de azon is talált különféle – amúgy nem létező – rendszerproblémákat.

Ullrich szerint egy logikusan felépített támadásról van szó, amibe ügyesen beleépítették azt is, hogy viszonylag sok felhasználói közreműködés kell a nem kívánatos program telepítéséhez. A módszer akkor veszélyezteti a legkevésbé a felhasználó rendszerét, ha az automatikus frissítési szolgáltatásokkal telepíti vagy közvetlenül a gyártók oldaláról tölti le a javító csomagokat.