F-Secure ha individuato un nuovo malware per OS X che, camuffandosi da PDF, riesce a catturare schermate e audio provenienti dal Mac.
Il malware in questione, chiamato Janicab.A, è un vero e proprio spyware per OS X che sfrutta un carattere di Unicode per nascondere la sua vera estensione, facendo credere all’utente che si tratta di un semplice PDF. Il malware è stato scritto in Python ed è distribuito tramite un package indipendente che sfrutta l’utility py2app. Il file viene distribuito con il nome “RecentNews.?fdp.app”: il “?” che, sfruttando un carattere speciale dello standard di codifica Unicode, permette di avvisare il sistema in merito al sistema di scrittura utilizzato.
Se si avvia l’app con questo malware allora comparirà il classico messaggio che avverte l’utente sulla pericolosità dell’installazione. Tale messaggio, proprio perchè sfrutta un carattere speciale di Unicode, viene visto alla rovescia, rendendo quindi più difficoltosa la lettura. Se l’utente dà l’OK, allora su Mac verrà installato il malware in una cartella nascosta della Home dell’utente, aprendo quindi un PDF che fa da vera e propria trappola (appare come una news scritta in russo). A questo punto, Janicab.A inizia a catturare le schermate del Mac, a registrare l’audio e a caricare questi dati in un apposito server.
Al momento, sembra che tale malware sia stato inviato a target specifici di utenti e che non dovrebbe quindi diffondersi in modo rilevante. Bisogna comunque fare attenzione quando si installato applicazioni provenienti da fonti non sicure. Tra l’altro, questo malware è stato firmato digitalmente da uno sviluppatore registrato all’Apple Developer Program (Gladys Brady) , per cui è molto probabile che Apple gli revochi ogni potere rendendo inutilizzabile il malware stesso.