Op het Mac Security Blog stelt Intego dat een aantal apps en screensavers die worden verspreid door sites als MacUpdate, VersionTracker en Softpedia meer installeren dan de gebruikers zouden willen. De downloadsite van Apple Mac OS X bevatte ook links met een aantal apps, maar die lijken nu niet meer actief te zijn. De spyware wordt OSX/OpinionSpy genoemd en het is een variant van Windows spyware die al bestaat sinds 2008.

De spyware zit niet in de software, maar wordt gedownload bij de installatie. Bij die installatie wordt een dialoogvenster getoond dat aangeeft dat er marktonderzoek-software zal worden geïnstalleerd, die browser- en aankoopgeschiedenis verzamelt. Voor die installatie moet het admin wachtwoord worden ingegeven. Als de gebruiker daar op ingaat, wordt een proces geïnstalleerd dat ‘PremierOpinion’ heet en dat draait als root. Intego zegt dat de spyware dan een http achterdeur openzet op poort 8254 en alle toegankelijke lokale en netwerkvolumes scant, waarna code geïnjecteerd wordt in Safari, Firefox en iChat. Dat gebeurt in het geheugen, zodat de applicaties zelf niet worden aangepast. Verder stuurt de spyware regelmatig versleutelde data naar verschillende servers, zoals e-mail adressen, iChat headers en urls, maar ook gebruikersnamen, wachtwoorden, credit cardnummers, bookmarks en browsergeschiedenis.

OSX/OpinionSpy kan zichzelf daarnaast automatisch upgraden zonder dat de gebruiker er iets aan doet, en herstart zichzelf via launchd van Mac OS X, het proces dat een aantal automatische systemen beheert. Tot slot blijft OSX/OpinionSpy gewoon op de machine staan als je het originele programma verwijdert.

Tot nu toe heeft Intego het spywareprogramma gevonden in één applicatie en in een aantal screensavers, die allemaal gemaakt zijn door 7art-screensavers. De spyware wordt gemaakt door PremierOpinion. Op de website kun je de privacy policy van dat bedrijf lezen, en die is nogal alarmerend. Daar staat in feite dat ze alle informatie kunnen verkopen, al doen ze ‘pogingen’ om daaruit informatie als UserID, wachtwoord en credit card nummers te filteren.

De policy stelt verder dat ‘klanten’ zich kunnen uitschrijven, maar het geeft alleen uninstall instructies voor Windows, niet voor Mac OS X.

Bron: Techworld