Op de Macbook van een Angolese activist is deze week tijdens een mensenrechtenconferentie spyware gevonden die digitaal was getekend met een geldig Apple Developer ID, schrijft de IDG News Service. De backdoor maakte screenshots en stuurde deze naar servers op afstand.

Spear phishing

De malware verspreidde zich via de methode van 'spear phishing', stelt ontdekker Jacob Appelbaum. Daarbij krijgt het slachtoffer zeer gerichte e-mails die afkomstig lijken te zijn van mensen die hij kent. De spyware werd ontdekt tijdens een workshop waarbij internationale activisten op het gebied van vrijheid van meningsuiting beveiligingstips kregen.

F-Secure is een van de weinige antivirusbedrijven die de nieuwe malware, genaamd OSX/KitM.A, momenteel al herkent. Volgens beveiligingsbedrijf Intego is de nieuwe malware een variant van de eerdere trojan OSX/FileSteal.

Apple Developer ID

De malware was ondertekend met een geldige Apple Developer ID, waardoor het Apple's antimalwaresysteem Gatekeeper makkelijker kan omzeilen. De malware zet de screenshots in de ~/MacApp-map en stuurt ze in PNG-formaat naar een server. De servers die de malware gebruikte zijn inmiddels inactief gemaakt en de gebruikte Apple ID is ingetrokken.