Da anni questo misterioso malware infetta centinaia di Mac in tutto il mondo — e nessuno se ne era accorto prima di pochi mesi fa.

All’inizio di quest’anno, un ex hacker dell’NSA ha cominciato ad analizzare un malware che mi ha descritto come “singolare” ed “intrigante”. Si tratta di un ceppo leggermente diverso di un malware scoperto su quattro computer all’inizio di quest’anno dall’agenzia di sicurezza Malwarebytes e conosciuto come “FruitFly”.

Questo primo ceppo ha lasciato i ricercatori piuttosto in difficoltà. A prima vista il malware sembrava piuttosto semplice. Era programmato per monitorare le vittime attraverso le loro webcam, scattare screenshot dei loro schermi e registrare ciò che scrivevano sulla tastiera senza destare sospetti. Stranamente, però, ha finito per non essere rilevato fino ad almeno il 2015. Non c’era alcuna indicazione sul possibile creatore del malware, e conteneva funzioni “antiche” e funzionalità di accesso da remoto “rudimentali”, ha scritto al tempo Thomas Reed su Malwarebytes.

La seconda versione di FruitFly è ancora più assurda, secondo Patrick Wardle, ex hacker di un’agenzia di spionaggio che ora sviluppa sistemi di sicurezza gratuiti per computer Apple e fa ricerca sul tema Apple per l’azienda Synac. Wardle ha spiegato a Motherboard in una telefonata che quando ha scoperto FruitFly 2 per la prima volta, nessun antivirus riusciva a rilevarla. Ancora più sorprendentemente, sembrava essere in giro da cinque o dieci anni e sembrava aver già infettato diverse centinaia di computer.

FruitFly e FruitFly 2 sono anche misteriosi: né Reed né Wardle conoscono i meccanismi di infezione — Sia che si tratti di sfruttare una falla nel codice di MacOS, sia che sia installato attraverso forme di ingegneria sociale o chissà cos’altro. Per questo motivo, e visto che Apple non ha risposto a diverse richiesta di commento, non siamo sicuri che i computer siano ancora a rischio. Ci potrebbero essere più di qualche centinaio di vittime perché Malwarebytes non ha avuto modo di approfondire FruitFly 1, e Wardle spiega di aver visto probabilmente solo una porzione dei computer infettati da FruitFly 2.

Anche se FruitFly non è così sofisticato o avanzato, il suo diffondersi indisturbato dimostra che nonostante la nomea di immunità dei Mac, Apple non è immune da malware pericoloso e invasivi.

“Abbiamo visto più malware per Mac quest’anno che in qualsiasi altro anno precedente.,” ha spiegato a Motherboard Reed, il ricercatore di Malwarebytes che per per primo ha analizzato l’atra versione di FruitFly.

DISSEZIONARE FRUITFLY

Frustrato dal lungo e tedioso processo di scomposizione del malware — “analizzare un malware è un bella fatica,” ha scherzato — Wardle ha capito che poteva semplicemente trovare un modo per capire cosa stava cercando FruitFly 2. Ha scoperto che FruitFly 2 è programmato per inviare i dati all’hacker che l’ha impiantato o ad altri hacker che controllano il software — chiunque possano essere — attraverso una serie di server di backup nel caso in cui quelli principali andassero offline.

“Ho potuto determinare quasi tutte le funzionalità del malware istantaneamente semplicemente facendo le domande giusta,” ha spiegato Wardle.

Una lista parziale delle vittime di FruitFly. (Immagine: Patrick Wardle)

Prendere il controllo di un server di comando e controllo, però, ha generato un altro risultato inaspettato: circa 400 vittime infettate da FruitFly hanno cominciato a connettersi ad esso. Wardle poteva controllare questi computer o spiarli se avesse voluto. Invece, ha avvisato le autorità, che stanno seguendo il caso.

Un portavoce dell’FBI ha spiegato a Motherboard che “come da tradizione, l’FBI non nega né conferma l’esistenza di questa indagine.” Reed mi ha detto che Apple gli ha detto che l’FBI stava indagando sul caso dopo che aveva segnalato la prima versione di FruitFly. Wardle ha detto che non poteva discutere i dettagli dell’indagine, a parte dire che aveva contattato le autorità. Apple non ha risposto alle richieste di commento.

CHI È STATO?

Nè Reed né Wardle sanno come il malware sia finito nei computer delle vittime. Ma il grande mistero attorno a FruitFly riguarda il suo creatore.

Il malware non contiene molti indizi, e non è nemmeno chiaro quale possa essere il fenotipo dell’hacker dietro di esso secondo sia Wardle che Reed.

FruitFly non sembra essere stato creato da un ente governativo perché non è abbastanza sofisticato, e non sembra prendere di mira obiettivi di alto profilo.

Malwarebytes l’ha trovato in quattro computer che appartengono a delle strutture di ricerca, ma le vittime che Wardle ha identificato sono di tutti i tipi. Ci sono un paio di centri di ricerca, ma per la maggior parte si tratta di persone normalissime e il 90 percento di essere arriva dagli Stati Uniti o dal Canada, secondo Wardle.

“Solo perché hanno un Mac non significa che sono al sicuro.”

Benché prende di mira delle persone normali, non sembra essere stato creato da persone che hanno l’interesse specifico di estorcere denaro ai loro bersagli attraverso ransomware o rubando le loro carte di credito o password. Wardle ha spiegato che entrambe le versioni di FruitFly sembrano essere state sviluppate principalmente per motivi di sorveglianza. Ma in FruitFly 2 si trovano funzioni piuttosto insolite, come la possibilità di muovere il cursore o controllare la tastiera da remoto, ed è stato programmato per allertare gli hacker quando il proprietario del computer torna a controllarlo, secondo Wardle. È stato anche scritto in Perl, un linguaggio “arcaico” per i malware, ha spiegato Wardle.

In altre parole, gli hacker probabilmente sono in giro di qualche tempo, e non sembrano essere né spie né cybercriminali.

“[FruitFly] non si adatta a nessuno di questi modelli,” ha spiegato Wardle, aggiungendo che sembra trattarsi di “uno specifico hacker che attacca bersagli specifici” per motivi sconosciuti.

Benché questa notizia non debba causare panico, secondo Wardle è “preoccupante.”

“Se ci sono degli hacker che stanno bersagliando famiglie o individui specifici che utilizzano Mac, be’ il solo pensarci mi lascia piuttosto stranito,” ha spiegato. “Le persone devono essere davvero caute quando usano i loro computer, quando i loro bambini usano quei computer. Solo perché hanno un Mac non significa che sono al sicuro.”

Wardle parlerà di FruitFly 2 durante le conferenze Black Hat e Def Con, a Las Vegas, questa settimana.

