A saga fantasmagórica do vírus que há anos infecta Macs

O mistério por trás do “FruitFly” nos faz rever a crença universal de que computadores da Apple não possuem malwares.

|
25 Julho 2017, 2:48pm

Um vírus misterioso vem infectando centenas de Macs ao longo dos anos – e ninguém fazia ideia até alguns meses atrás.

No começo deste ano, um ex-hacker da NSA começou a analisar um malware que havia sido descrito como "único" e "intrigante". Era uma versão levemente alterada de um vírus descoberto em quatro computadores neste ano pela empresa de segurança Malwarebytes, conhecido como "FruitFly".

Esta primeira versão deixou pesquisadores encafifados: de cara, o malware parecia "simplista". Era programado para monitorar vítimas por meio de suas webcams, capturar suas telas e registrar o que digitavam. Mas, estranhamente, o malware seguiu não-detectado pelo menos até 2015. Não havia qualquer indicação de quem poderia poder estar atrás dessa invenção que continha funções "antigas" e controle remoto "rudimentar", como dito por Thomas Reed da Malwarebytes na época.

A segunda versão do FruitFly deixa tudo ainda mais confuso, de acordo com Patrick Wardle, ex-hacker de agência espiã que agora desenvolve ferramentas de segurança gratuitas para computadores Apple e pesquisa segurança em Macs para a empresa Synack. Wardle disse ao Motherboard em ligação telefônica que, quando descobriu o FruitFly 2, nenhum antivírus havia o detectado. E o mais surpreendente: pelo visto o vírus está por aí há cinco ou dez anos e já infectou centenas de usuários.

O FruitFly e FruitFly 2 também atuam de forma misteriosa: nem Reed nem Wardle sabem como eles infectam computadores. Também não sabem se é uma falha no código do MacOS ou se ele é instalado por meio de engenharia social ou sabe-se lá mais o quê. Como a Apple não respondeu aos nossos contatos, não temos como saber se há computadores em risco por aí. Talvez existam mais do que as centenas de vítimas mencionadas anteriormente porque a Malwarebytes disse ter visibilidade limitada em relação ao FruitFly 1 e Wardle comentou só ter visto a ponta do iceberg ao se tratar do FruitFly 2.

"Em 2017 nos deparamos com mais malware para Mac do que em qualquer outro ano."

Por mais que o FruitFly não seja muito sofisticado ou avançado, sua longevidade até então despercebida mostra que, apesar da crença universal de que computadores Apple não tem vírus, eles estão longe de serem imunes a malwares perigosos e invasivos.

" Em 2017 nos deparamos com mais malware para Mac do que em qualquer outro ano", disse Reed, pesquisador da Malwarebytes que analisou a outra versão do FruitFly.

DISSECANDO O FRUITFLY

Frustrado com o longo e tedioso processo de analisá-lo – "analisar malware é um pé no saco", comentou – Wardle se deu conta de que poderia enganar o FruitFly 2 para lhe mostrar o que queria. O pesquisador descobriu que ele era programado para enviar dados de volta ao hacker ou hackers em seu controle – seja lá quem fossem – por meio de uma série de servidores caso os principais tivessem caído. Ele então registrou domínios de backup e infectou sua própria máquina virtual com o FruitFly.

"Pude determinar rapidamente as funções do malware ao lhe fazer as perguntas certas", disse Wardle.

Uma lista parcial de vítimas do FruitFly (Crédito: Patrick Wardle )

Tomar um servidor de comando e controle, porém, teve um resultado inesperado: cerca de 400 vítimas infectadas com o FruitFly começaram a se conectar a ele. Wardle poderia ter tomado para si esses computadores ou os espiado se quisesse. Em vez disso, acionou as autoridades que investigam o caso no momento.

Um porta-voz do FBI disse ao Motherboard que, "por se tratar de prática própria longeva, o FBI não nega nem confirma a existência de investigações". Reed comentou que a Apple lhe contou que, após sua denúncia do FruitFly 1, o FBI teria começado investigações. Wardle não pôde comentar quaisquer detalhes além de que havia contatado as autoridades. A Apple não respondeu nossos contatos.

QUENHÉ?

Nem Reed nem Wardle fazem ideia de como o malware infectou os computadores de suas vítimas, mas a maior questão é: quenhé que está por trás do vírus?

O malware em si não dá muitas pistas e nem sabemos ao certo em que perfil tais hackers se encaixam, de acordo com Wardle e Reed.

O FruitFly não parece ser obra de um estado-nação pois não é nada sofisticado; além disso, não parece estar mirando em vítimas particularmente importantes.

A Malwarebytes o detectou em quatro computadores pertencentes à instituições de pesquisa, mas o que Wardle encontrou derruba qualquer hipótese. Há sim algumas instituições de pesquisa no meio, mas a grande maioria das vítimas é composta por gente comum, 90% delas sendo dos EUA ou Canadá.

"Só porque elas tem um Mac não quer dizer que estejam seguras."

Apesar de tomar como alvo pessoas comuns, o malware não parece ter sido feito por gente interessada em extorsão por ransomware ou roubo de cartões de crédito e senhas. Wardle comentou que ambas as versões do FruitFly parecem ter como principal foco a vigilância. Mas, no FruitFly 2, há funções diferentes tais como poder mexer no mouse e teclado remotamente, e o malware alertava quando o dono do computador voltava a controlá-lo, de acordo com Wardle. Outra característica é que o vírus foi criado em Perl, linguagem considerada "arcaica" para o que se propõe.

Em suma: provavelmente os hackers responsáveis já estão nessa há um bom tempo e não parecem ser espiões ou criminosos. Queriam, ao que parece, infectar usuários escolhidos a dedo. Por mais que isso não deva causar pânico ou alarde, Wardle disse ser "preocupante".

"Se tem hackers por aí indo atrás de famílias ou usuários individuais de Mac, isso faz meu estômago revirar", disse. "As pessoas precisam tomar cuidado ao usarem seus computadores, quando seus filhos os usam também. Só porque elas tem um Mac não quer dizer que estejam seguras."