Компания «Доктор Веб» предупреждает о появлении новой версии вредоносной программы OpinionSpy, нацеленной на владельцев персональных компьютеров Apple.
Зловред уходит корнями ещё в 2010 год. Обнаруженная недавно модификация программы получила обозначение OpinionSpy.3. Она представляет собой трояна с функциональностью бэкдора.
При распространении OpinionSpy.3 использует трёхступенчатую схему. На различных сайтах, предлагающих всевозможное ПО для OS X, появляются с виду безобидные программы, в составе дистрибутивов которых присутствует файл poinstall, запускаемый инсталлятором в процессе установки. Если во время инсталляции загруженного с такого сайта приложения пользователь соглашается предоставить ему права администратора, poinstall отправляет на сервер злоумышленников серию POST-запросов, а в ответ получает ссылку для скачивания пакета с расширением .osa, внутри которого располагается ZIP-архив. Рoinstall распаковывает этот архив, извлекая исполняемый файл с именем PremierOpinion и XML-файл с необходимыми для его работы конфигурационными данными, после чего запускает эту программу.
Далее PremierOpinion связывается с управляющим сервером и получает от него ссылку на скачивание ещё одного .osa-пакета, из которого извлекается и устанавливается полноценное приложение с таким же названием — PremierOpinion. Это приложение содержит несколько исполняемых файлов: собственно программу PremierOpinion, в которой отсутствует какая-либо вредоносная функциональность, и бэкдор PremierOpinionD.
Троян получает администраторские права в процессе установки и работает в системе с максимальными привилегиями. Любопытно, что если на начальном этапе инсталляции выбрать в окне программы установки вариант «I Disagree», на компьютер будет помещена только программа, которую пользователь скачивал из Интернета без каких-либо дополнительных шпионских компонентов. В противном случае пользователь получает набор вредоносных модулей.
Киберпреступники уверяют пользователей в том, что программа предназначена для отслеживания истории покупок и проведения маркетинговых опросов. На деле же владельцы компьютеров становятся жертвами шпионажа: зловред собирает информацию об активности пользователей, посещённых ими сайтах, открываемых вкладках, ссылках и пр. Плюс к этому троян может анализировать трафик, проходящий через сетевую карту компьютера, а также перехватывать сетевые пакеты, отправляемые программами для мгновенного обмена сообщениями. Отдельный модуль позволяет осуществлять сканирование жёсткого диска и всех смонтированных в системе носителей, выполнять поиск файлов, соответствующих заданному вирусописателями правилу, и отправлять информацию об этих файлах на удалённый сервер. Наконец, OpinionSpy.3 собирает сведения об инфицированном ПК.