Зловред FruitFly: вопросов больше, чем ответов

Специалисты по кибербезопасности пытаются разгадать загадку вредоносного ПО для Mac, получившего название FruitFly («плодовая мушка»). Впервые оно было обнаружено в январе нынешнего года в системах нескольких биотехнологических компаний и исследовательских лабораторий. Находка стала заметным событием, поскольку зловреды для Mac в принципе чрезвычайно редки. Корпорация Apple выпустила необходимые обновления безопасности, однако спустя полгода FruitFly вновь напомнил о себе.

Новые варианты зловреда обнаружил Патрик Уордл, в прошлом – специалист АНБ США, а ныне ведущий исследователь компании Synack. И столкнулся сразу с множеством загадок. Прежде всего, в коде вредоносного ПО он нашел отсылки к старым программным библиотекам и версиям MacOS. Старым настолько, что можно предположить, что зловред существует уже не менее 5 лет, но все это время оставался незамеченным. Другой особенностью обнаруженных версий FruitFly оказался мощнейший шпионский функционал. Программа получает доступ к файловой системе, контроль над веб-камерой, осуществляет клавиатурный шпионаж и даже оповещает своих хозяев, когда владельцы инфицированных устройств включают их и входят в систему. Наконец, в коде FruitFly Уордл обнаружил список доменных имен, очевидно, используемых командными серверами организаторов атаки. Часть этих имен оказалась свободна, и Патрик Уордл зарегистрировал их. После чего зафиксировал порядка 400 запросов со стороны инфицированных компьютеров Mac. Беглый анализ показал, что 90 процентов зараженных устройств приходятся на США, а принадлежат они преимущественно частным лицам, никак, похоже, не связанным между собой.

Все эти находки чрезвычайно интересны, однако они не только не проясняют ситуацию, но лишь запутывают ее. Патрик Уордл исключает возможность того, что FruitFly является шпионским инструментом каких-либо правительственных спецслужб – и, учитывая прошлое исследователя, ему, пожалуй, стоит верить. Но в таком случае совершенно непонятно, кому и зачем потребовалось создавать зловред для Mac (что само по себе является нетривиальной задачей) и шпионить за рядовыми пользователями. Никаких свидетельств того, что FruitFly приносит своим хозяевам хоть какую-то прибыль, нет. Кроме того, нет пока и никаких догадок относительно того, каким образом происходит заражение вредоносным ПО.