Mac-Spyware fertigt Screenshots an

Bei einem Workshop auf dem Oslo Freedom Forum fand sich eine bislang unbekannte Malware auf dem Mac eines afrikanischen Aktivisten. Der Antiviren-Softwarehersteller F-Secure untersucht den "OSX/KitM.A" getauften Schädling derzeit und hat erste Details veröffentlicht: Die Software liegt ungetarnt als Applikation mit dem Namen "macs" auf oberster Ebene im Verzeichnis des Nutzers und pflanzt sich auch in die Startobjekte. Sie fertig regelmäßig Screenshots an, die wiederum im Ordner "MacApp" landen – der Schädling versucht offenbar, Kontakt zu zwei Command-and-Control-Servern aufzunehmen, die aber beide laut F-Secure nicht aktionsfähig sind.

Es ist unklar, auf welchem Wege die Spyware auf den Mac gelangt war und wie weit verbreitet sie ist. OSX/KitM.A sei mit einer Apple-Entwickler-ID zertifiziert, schreibt F-Secure – falls diese gültig ist, könnte ein Nutzer die Software in der Standardeinstellung von Apples Gatekeeper ohne weitere Nachfrage starten.

[Update 17.05.2013 16:15 Uhr] Die Malware sei durch gezieltes Phishing ("Spear Phishing") auf den Mac des Aktivisten aus Angola gelangt, erklärt Jacob Appelbaum, der die Schadsoftware im Rahmen eines Workshops entdeckt hatte. Weitere Details will Applebaum erst nach Rücksprache mit dem Aktivisten veröffentlichen – dessen Leben sei wahrscheinlich in Gefahr. (lbe)