Le premier malware de l’année est une bizarrerie. Repéré par Malwarebytes, Fruitfly — également appelé Quimitchin — peut réaliser des captures écran et récupérer des images provenant de la webcam des Mac infectés, collecter des données sur les appareils connectés au même réseau que l’ordinateur touché, et même se connecter à ces terminaux. Si ce programme malveillant a été découvert en ce mois de janvier, il court depuis au moins OS X Yosemite, c’est à dire depuis 2014.
Une analyse du code montre que le malware n’est effectivement pas né de la dernière pluie. On y trouve la présence de libjpeg, une bibliothèque libre de droit permettant d’ouvrir et de créer des images au format JPEG ; la dernière mise à jour de ce code date de… 1998. Cela ne signifie pas, bien évidemment, que Fruitfly date de cet âge reculé. Mais cela indique que nous sommes en présence d’un malware vintage !
On trouve également un commentaire dans le code se référant à un changement réalisé dans OS X Yosemite en date de janvier 2015. Il y a donc de fortes chances pour que Fruitfly soit dans la nature depuis au moins deux ans. Malwarebytes ne sait pas dire comment le logiciel se propage. S’il est passé sous le radar pendant si longtemps, c’est que la cible du malware est assez limitée : il semble en effet que les victimes se limitent à des centres de recherches biomédicales. L’éditeur explique que des hackers chinois et russes s’en prennent depuis quelques années aux travaux scientifiques en Europe et aux États-Unis, mais pour le moment il est impossible de connecter Fruitfly à ces tentatives de piratage très ciblé.
Autre originalité, Fruitfly peut également très facilement fonctionner sur Linux, seul un binaire Mach étant formaté spécifiquement Mac. Malwarebytes n’a cependant pas encore découvert de variante Linux dans la nature. Pour finir, Apple a mis au point une parade dans macOS qui agit automatiquement sans action particulière de l’utilisateur.
Source :
