le 16 avril 2014

Les logiciels malveillants créés par les malfaiteurs pour gagner de l'argent sur l'affichage de publicités sont très répandus. Mais ils ciblent le plus souvent les internautes dont les ordinateurs tournent sous Windows. Les Trojans ici analysés par les spécialistes de Doctor Web infectent, eux, les ordinateurs sous Mac OS X.

Plusieurs utilisateurs de Mac OS X ont publié sur le forum officiel d'Apple des plaintes concernant des publicités s’affichant dans les navigateurs Safari et Google Chrome. Ce problème est dû au fait que leurs navigateurs ont été infectés par des plug-ins malveillants alors qu'ils visitaient certains sites. Les plug-ins sont distribués avec des applications légitimes, capables d'exécuter sur l'ordinateur des fonctions utiles.

Un tel programme porte le nom Downlite et se propage depuis le site du tracker torrent populaire : En cliquant sur Download, l'utilisateur est redirigé vers une autre ressource pour télécharger l'application. Il faut noter que cette redirection est ciblée : les utilisateurs d'ordinateurs sous Apple recevront le fichier StartDownload_oREeab.dmg - l'installateur de Downlite, les utilisateurs d'autres systèmes d'exploitation peuvent être redirigés vers d'autres sites. Après le téléchargement du fichier, le système commence l'installation du Downlite.app.

Cet installateur (détecté par Dr.Web Antivirus sous le nom Trojan.Downlite.1) a une particularité : il installe l'application DlLite.app et plusieurs plug-ins pour le navigateur. Lors de cette installation, il demande le mot de passe de l'utilisateur, et si celui-ci se connecte en tant qu’administrateur, les applications seront installées dans le dossier racine. L'application DlLite.app requiert Java, cependant les plug-ins sont écrits en Objective-C et peuvent se lancer lorsque l'utilisateur ouvre le navigateur. De plus, le Trojan installe dev.Jack conçu pour le contrôle des navigateurs Mozilla Firefox, Google Chrome et Safari, qui est détecté par le logiciel antivirus Dr.Web sous le nom Trojan.Downlite.2.

En outre, les malfaiteurs distribuent ces Trojans avec d’autres applications (MacVideoTunes, MediaCenter_XBMC, Popcorn-Time, VideoPlayer_MPlayerX). Prenons pas exemple l'application MoviePlayer (MacVideoTunes) : à la première étape de son installation, elle propose à l'utilisateur de lancer l'installateur sans signature numérique :

Puis d’installer un outil optimisateur. Il faut noter que l'utilisateur ne peut pas refuser d'installer cette application, car l'option décocher n'est pas disponible :

Cet installateur, détecté par Dr.Web Antivirus sous le nom Trojan.Vsearch.8 ressemble beaucoup au Trojan.Downlite.1, mais au lieu du logiciel dev.Jack, il installe l'application takeOverSearchAssetsMac.app (Trojan.Conduit.1).

Dans tous ces cas, le programme effectue l'installation de la charge utile dans le système, représentée par les fichiers VSearchAgent.app, VSearchLoader.bundle, VSearchPlugIn.bundle, libVSearchLoader.dylib et VSInstallerHelper. A la suite de quoi le navigateur web affichera des publicités de types :

• mots-clés soulignés : lorsque l'utilisateur passe la souris dessus, une fenêtre pop-up publicitaire s’ouvre ;
• fenêtre dans le coin inférieur gauche avec le bouton Hide Ad ;
• bannières sur les pages des moteurs de recherche et des sites les plus populaires.

Les spécialistes de Doctor Web recommandent aux utilisateurs de Mac OS X de ne pas télécharger ni installer d’applications à partir de sources douteuses ainsi que d’utiliser des logiciels antivirus à jour.