Son dönemde Mac bilgisayarlara yönelik olarak geliştirilen kötücül yazılım sayısında artış yaşanması dikkat çekici. Bu kötücül yazılımlardan son fark edileni güvenlik araştırmacılarının RTL (right-to-left) tekniğiyle hazırlanan bir varyant. Söz konusu kötücül yazılımın dosya adı ve uzantısı sağdan sola okunacak şekilde gizlenerek kullanıcıları kandırmayı hedefliyor. Böylece örneğin RecentNews.fdp.app adlı bir uygulama, RecentNews.ppa.pdf şeklinde sanki bir PDF dosyasıymış gibi algılanabiliyor.
F-Secure araştırmacılarının buldukları kötücül yazılım, daha önce Windows işletim sistemine yönelik olarak hazırlanan Bredolab ve Mahdi adlı kötücül yazılımlarla benzer bir maskeleme tekniği kullanıyor. Dosya adının bir bölümü sağdan sola okunacak şekilde değiştirildiği için .app ile biten bir uygulama dosyası .pdf veya .doc gibi bir dosya kılığına bürünebiliyor. Güvenlik uzmanları buldukları son zararlı yazılımın Mac bilgisayarları hedeflediğini söylüyorlar. Gerçi OS X işletim sistemindeki güvenlik modülü bu kötücül yazılımın çalıştırılabilir bir kod içerdiğini ve riskli olduğunu fark ediyor ama kullanıcıya verdiği uyarı metni de soldan sağa değil sağdan sola yazıldığı için uyarı kullanıcı tarafından anlaşılamayabiliyor
F-Secure görevlileri, söz konusu kötücül yazılımı incelediklerinde bu yazılımın Python’da yazıldığını ve dağıtım için py2app uygulamasını kullandığını fark etmişler. Bir Apple Geliştirici ID’si üzerine kayıtlı görünen kötücül yazılım bu sayede güvenilir olduğu izlenimi yaratıyormuş. Açıldığında, kendisiyle birlikte bilgisayara yüklenen bir pdf sayfası çalıştıran yazılım arka planda ise bileşenlerini bilgisayar yükleyerek, komuta kontrol merkezine erişmek için YouTube üzerinde açılan bir linki tarayıcı klasörüne aktarıyormuş.
Yapılan analizler, bu kötücül yazılımın temizlenmediği takdirde bilgisayardan sürekli olarak ekran görüntüsü aldığını ve SoX adlı 3. şahıs bir yazılım desteğiyle bilgisayarın mikrofonunu açarak sürekli ortam dinlemesi yapabildiğini ortaya koymakta. Kötücül yazılım elde ettiği bu verileri de düzenli olarak komuta kontrol merkezine aktarıyor. F-Secure güvenlik uzmanları bu kötücülün henüz çok yaygınlaşmadığını ve Mac bilgisayarlarda erken evre varyantları saptadıklarını açıklıyorlar.
Kaynak : 