Le 27 février 2015

Les spécialistes de Doctor Web ont étudié une nouvelle version du backdoor ciblant Mac OS X, baptisé Mac.BackDoor.OpinionSpy.3. Ce malware est conçu pour espionner les utilisateurs de Mac : il peut recueillir et envoyer des données sur les pages ouvertes dans le navigateur, analyser le trafic réseau, intercepter les paquets réseau envoyés par les logiciels de messagerie instantanée, etc.

La famille Mac.BackDoor.OpinionSpy est bien connue des spécialistes de la sécurité depuis 2010, mais une nouvelle modification a récemment été détectée. Cette modification du backoor a été baptisée Mac.BackDoor.OpinionSpy.3.

Les malfaiteurs utilisent un schéma à trois étapes pour distribuer le distribuer. Sur différents sites offrant toutes sortes de logiciels pour Mac OS X, il existe des programmes apparemment anodins, dont les distributions comprennent le fichier poinstall, lancé par l'installateur lors de l'installation. Si, lors de l'installation de l'application, l'utilisateur lui offre les droits administrateurs, poinstall envoie une série de requêtes POST au serveur et reçoit en réponse un lien pour télécharger un paquet comportant l'extension .osa, qui contient une archive ZIP. Рoinstall décompresse cette archive et extrait le fichier exécutable PremierOpinion ainsi qu’un fichier XML avec les données de configuration nécessaires, puis lance ce logiciel.

Lancé sur un Mac infecté, PremierOpinion se connecte au serveur de gestion et reçoit un lien pour télécharger un autre paquet .osa depuis lequel il extrait et installe la vraie application portant le même nom,PremierOpinion. Cette application contient plusieurs fichiers exécutables : le logiciel PremierOpinion, qui est sain, et le backdoor PremierOpinionD qui porte la charge malveillante.

Le Trojan obtient les privilèges administrateur lors de l'installation et fonctionne dans le système en tant qu'administrateur. Si, lors de l'installation, l'utilisateur choisit « I Disagree », il installera uniquement l'application qu'il a téléchargée sur Internet sans les composants d'espionnage.

Si l'utilisateur choisit « I Agree », il installera avec l'application téléchargée le logiciel PremierOpinion, dont l'icône sera placée dans la barre de commande et dans la liste des applications installées.

L'interface de PremierOpinion est assez laconique.

En cliquant sur l'icône de l'application dans la barre de commande, le navigateur web sera lancé et téléchargera une page avec la description de PremierOpinion, positionné comme un utilitaire de recherches en marketing. Cependant, les développeurs n'informent pas les utilisateurs sur le fait que cette application recueille et transmet des données sur l'ordinateur Apple à un serveur distant.

Les développeurs affirment que l'application PremierOpinion suivra l'historique des achats de l’utilisateur et proposera de temps en temps de participer à des enquêtes de marché (répondre à un questionnaire). En réalité, les fonctionnalités du Mac.BackDoor.OpinionSpy.3 sont beaucoup plus larges et sont définies par les fichiers de configuration qu'il reçoit du serveur de gestion. Le Trojan s'installe dans le dossier /Library/LaunchDaemons/, ce qui assure son auto démarrage en cas d'erreur du logiciel ou de redémarrage du système. Puis Mac.BackDoor.OpinionSpy.3 installe des plug-ins spéciaux dans les navigateurs Google Chrome et Mozilla Firefox qui surveillent l'activité de l'utilisateur et envoient au serveur de gestion les données sur les sites web visités (il existe plusieurs règles), les onglets ouverts et les liens. De plus, Mac.BackDoor.OpinionSpy.3 s'intègre aux processus des navigateurs et de l'application iChat afin d'intercepter certaines fonctions réseau, et surveille également le trafic réseau. Il surveille les paquets HTTP dans toutes les interfaces Ethernet disponibles, le trafic des clients de messagerie instantanée (Microsoft Messenger, Yahoo! Messenger, AIM, iChat), le trafic RTMP. Un module séparé du Trojan peut scanner le disque dur et les supports amovibles, rechercher des fichiers demandés et envoyer les données sur ces fichiers au serveur distant. Le Trojan envoie les données sur l'ordinateur infecté, y compris la configuration hardware, la liste des processus lancés etc. Le Trojan peut installer ses mises à jour à l'insu de l'utilisateur en les téléchargeant sur le serveur de gestion. Il faut noter que dans le navigateur Safari, Mac.BackDoor.OpinionSpy.3 interrompt le fonctionnement du module de géolocalisation.

Le Trojan crypte une partie des données lors de la communication avec le serveur de gestion. De plus, il peut recueillir et envoyer aux malfaiteurs les données sur les vidéos regardées par l'utilisateur.

La signature de ce malware a été ajoutée aux bases virales Dr.Web. Les utilisateurs d'ordinateurs sous Mac OS X doivent être prudents en téléchargeant des applications sur Internet.

Plus d'infos sur cette menace