[MàJ] Intego : un spyware OSX/OpinionSpy distribué avec des applications

Anthony Nelzin-Santos |
Intego a publié aujourd'hui une note de sécurité faisant état de la découverte d'un spyware baptisé OSX/OpinionSpy. Le risque est qualifié, et pour cause : alors que jusqu'ici les menaces venaient essentiellement de logiciels piratés et modifiés disponibles sur les réseaux P2P, elle toucherait cette fois des applications et écrans de veille disponibles sur des sites comme MacUpdate ou VersionTracker.

FR_Intego%20Security%206-1-10%20v7-1.pdf%20(page%201%20sur%203)

La réputation de ces sites n'est pas à mettre en cause : les applications et écrans de veille en eux-mêmes sont « sains », mais le spyware est téléchargé pendant le processus d'installation (l'installeur, lui, est vérolé). Il s'identifie comme un programme d'« étude de marché », prétendant « récolter des informations sur la navigation et les achats des utilisateurs habituellement utilisées dans des études de marche ».

Comme il demande le mot de passe administrateur, il s'exécute en tant que root (et se relance automatiquement), et peut donc accéder à tout fichier stocké sur le Mac. Elle analyse les fichiers, consommant du temps processeur, ainsi que le réseau, consommant de la bande passante. Elle injecte du code dans Safari, Firefox et iChat, et envoie des données diverses comme des adresses courriel, des en-têtes de message iChat, etc.

L'application collecte donc bien des données, mais pas celle qu'elle prétendait, et représente donc un possible problème pour la vie privée des utilisateurs. Evidemment, Intego indique que VirusBarrier X5 et X6 sont capables de repérer et neutraliser OSX/OpinionSpy, dont il existe déjà une variante sous Windows depuis quelques années.

[MàJ@19h20] Intego a commencé à publier les applications et écrans de veille contenant ce spyware. Tous les écrans de veille installant ce spyware ont été créés par 7art-screensavers :

- Secret Land ScreenSaver v.2.8
- Color Therapy Clock ScreenSaver v.2.8
- 7art Foliage Clock ScreenSaver v.2.8
- Nature Harmony Clock ScreenSaver v.2.8
- Fiesta Clock ScreenSaver v.2.8
- Fractal Sun Clock ScreenSaver v.2.8
- Full Moon Clock ScreenSaver v.2.8
- Sky Flight Clock ScreenSaver v.2.8
- Sunny Bubbles Clock ScreenSaver v.2.9
- Everlasting Flowering Clock ScreenSaver v.2.8
- Magic Forest Clock ScreenSaver v.2.8
- Freezelight Clock ScreenSaver v.2.9
- Precious Stone Clock ScreenSaver v.2.8
- Silver Snow Clock ScreenSaver v.2.8
- Water Color Clock ScreenSaver v.2.8
- Love Dance Clock ScreenSaver v.2.8
- Galaxy Rhythm Clock ScreenSaver v.2.8
- 7art Eternal Love Clock ScreenSaver v.2.8
- Fire Element Clock ScreenSaver v.2.8
- Water Element Clock ScreenSaver v.2.8
- Emerald Clock ScreenSaver v.2.8
- Radiating Clock ScreenSaver v.2.8
- Rocket Clock ScreenSaver v.2.8
- Serenity Clock ScreenSaver v.2.8
- Gravity Free Clock ScreenSaver v.2.8
- Crystal Clock ScreenSaver v.2.6
- One World Clock ScreenSaver v.2.8
- Sky Watch ScreenSaver v.2.8
- Lighthouse Clock ScreenSaver v.2.8

Pour le moment, seule une application est affectée, MishInc FLV to MP3. Intego devrait tenir cette liste à jour sur son blog.

avatar Shepherd | 
[quote=pitou69] Expliqué comme ça, ça semble provenir du Saint Esprit... "les applications et écrans de veille en eux-mêmes sont « sains » mais le spyware est téléchargé pendant le processus d'installation" ... faut m'expliquer là. c'est qu'à la base les applications ou écrans de veille ne sont pas sains ! Ils ne sont pas infectés plus tard, mais sont développé pour avoir ce comportement. [/quote] Intego s'explique tjs (volontairement ?) comme une vache espagnole. Néanmoins, c'est possible. Prenons le cas de la seule appli (je ne parle pas des screen savers) répertoriée pour le moment sur le blog Intego : MishInc FLV To Mp3. Si on pointe [b](sans cliquer)[/b] sur son lien de téléchargement, l'extension est en .jar. Il s'agit très probablement d'un exécutable compressé Java qui, lors de son exécution, peut ouvrir la porte à un drive-by download (téléchargement de code en arrière-plan et à l'insu de l'utilisateur). Intego reste trop vague pour entrevoir quelle peut être la méthode utilisée pour "injecter le code".
avatar Anonyme (non vérifié) | 
NDLR : si le petit Art333 pouvait arrêter de spammer ce thread par ailleurs intéressant, ça pourrait arranger tout le monde.
avatar luisdeejay | 
Mac plus abordable = plus de vente = plus attrayant pour les malwares en tous genres..

Pages

CONNEXION UTILISATEUR