MAC Defender (auch Mac Defender, Mac Security, Mac Protector, Mac Guard und Mac Shield) war ein im Mai und Juni 2011 aktives Schadprogramm für das Betriebssystem Mac OS X. Es handelte sich um einen Scareware-Trojaner, der sich nur durch Mithilfe des Nutzers verbreiten kann. Dennoch war MAC Defender das erste weit verbreitete Schadprogramm für Mac OS X.
Symptome
Das Programm erscheint in bösartigen Links, welche durch Indexspamming über Seiten wie Google Bildersuche verbreitet werden. Wenn ein Benutzer einen solchen bösartigen Link aufruft, erscheint eine Warnmeldung über Virenbefall des Rechners. Anfangs war diese Warnmeldung im Stil von Windows XP gehalten, wurde später aber durch einen für Mac OS X typischen Stil ersetzt. Die Internetseite gibt vor, die Systemfestplatte gescannt und dabei Viren entdeckt zu haben. Daraufhin wird der Benutzer aufgefordert MAC Defender zu installieren, welches vortäuscht ein Antivirenprogramm zu sein. Um Nutzern einen Malware-Befall vorzutäuschen, öffnet MAC Defender nach der Installation zufällig Pornoseiten im Browser. Für ein Entfernen dieser vorgetäuschten Malware soll der Nutzer dann eine Lizenz zu einem Preis zwischen 59,95 $ und 79,95 $ kaufen. Darüber hinaus werden die eingegebenen Kreditkartendaten über entsprechende illegale Kanäle weiterverbreitet.
Entwicklung
Die Sicherheitssoftware-Firma Intego berichtete erstmals am 2. Mai 2011 über das angebliche Antivirenprogramm MAC Defender.
Neue Varianten
In den folgenden Tagen tauchten mehrere neue Varianten der Malware unter den Namen Mac Security oder Mac Protector auf.
Eine Ende Mai unter dem Namen Mac Guard erschienene Variante installiert sich im Benutzerverzeichnis des angemeldeten Benutzers, sodass zur Installation keine Passworteingabe notwendig ist. Der Nutzer muss die Installation jedoch weiterhin manuell bestätigen. Auch hiervon erschienen in den folgenden Tagen mehrere Varianten, teils unter dem Namen Mac Shield.
Reaktion von Apple
Der Blogger Ed Bott von ZDNet berichtete, dass die Anzahl der Supportanrufe vier- bis fünfmal höher war als üblich. Bis zum 24. Mai 2011, also innerhalb von knapp drei Wochen, gingen seiner Schätzung nach etwa 60.000 Anrufe beim AppleCare-Support zum Thema MAC Defender ein. Die Support-Mitarbeiter wurden laut Bott angewiesen, bei der Entfernung der Malware keine Hilfe zu leisten. Laut einem ungenannten Support-Mitarbeiter sollte diese Regelung verhindern, dass sich Nutzer an den technischen Support wendeten, statt Antivirensoftware einzusetzen.
Am 24. Mai 2011 veröffentlichte Apple eine Anleitung zur Prävention und Entfernung der Malware. Am 31. Mai 2011 veröffentlichte Apple ein Sicherheitsupdate für Mac OS X, welches den Trojaner von infizierten Macs entfernt und Mac OS X um eine automatische Aktualisierung der Malware-Definitionen erweitert.
Aufklärung
Bis zum 18. Juni erschienen mehrere neue Varianten der Malware, auf die Apple mit täglichen Aktualisierungen der Malware-Definitionen reagierte. Diese Entwicklung endete, nachdem die russische Polizei am 23. Juni Geschäftsräume des russischen Bezahldienstleisters ChronoPay durchsucht hatte, der für MAC Defender und eine ganze Reihe ähnlicher Programme verantwortlich ist.
Der Ursprung der Software wurde über die E-Mail-Adresse des Buchhalters von ChronoPay zurückverfolgt. Diese Adresse wurde zur Registrierung mehrerer Internetseiten verwendet, auf welche Anwender geleitet wurden, um die vermeintliche Antivirensoftware zu kaufen.
Einzelnachweise
- 1 2 Intego Discovers New Variants of Mac Defender Fake Antivirus. Intego, 5. Mai 2011, abgerufen am 16. Januar 2012 (englisch).
- 1 2 MacDefender, MacSecurity, now MacProtector: Latest Version of Fake Antivirus Targeting Mac Users. Intego, 8. Mai 2011, abgerufen am 16. Januar 2012 (englisch).
- 1 2 INTEGO SECURITY MEMO – New Mac Defender Variant, MacGuard, Doesn’t Require Password for Installation. Intego, 25. Mai 2011, abgerufen am 16. Januar 2012 (englisch).
- 1 2 Mac malware morphs to 'MacShield'. (Nicht mehr online verfügbar.) In: Technolog. MSNBC, 3. Juni 2011, archiviert vom am 6. Juni 2011; abgerufen am 16. Januar 2012. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- ↑ John E. Dunn: Mac users hit by first rogue antivirus app. (Nicht mehr online verfügbar.) In: PCWorld New Zealand. 4. Mai 2011, archiviert vom am 8. September 2011; abgerufen am 18. Februar 2012. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- ↑ Adam Dachis: How to Protect Your Computer from Mac Defender and Its Counterparts. In: lifehacker.com. 25. Mai 2011, abgerufen am 18. Februar 2012: „Mac Defender has been making a lot of noise as one of the first major Mac security threats“
- ↑ Dan Moren: New Mac Trojan horse masquerades as virus scanner. In: Macworld.com. 2. Mai 2011, abgerufen am 18. Februar 2012: „By and large, Mac users have been able to escape the onslaught of malware that their Windows counterparts suffer from“
- ↑ Rich Trenholm: Mac Defender fake antivirus software is first major attack on Apple computers. (Nicht mehr online verfügbar.) In: crave.cnet.co.uk. 19. Mai 2011, archiviert vom am 22. Juli 2011; abgerufen am 18. Februar 2012. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- ↑ Elinor Mills: How bad is the Mac malware scare? (FAQ). In: CNET. 19. Mai 2011, abgerufen am 18. Februar 2012.
- ↑ Chester Wisniewski: Mac users hit with fake anti-virus when using Google image search. In: Naked Security. Sophos, 2. Mai 2011, abgerufen am 24. Mai 2011.
- ↑ Intego Security Memo – MAC Defender Fake Antivirus Program Targets Mac Users. Intego, 2. Mai 2011, abgerufen am 16. Januar 2012 (englisch).
- ↑ Ed Bott: An AppleCare support rep talks: Mac malware is "getting worse". In: zdnet.com. 18. Mai 2011, abgerufen am 16. Januar 2012 (englisch).
- ↑ Ed Bott: Apple to support reps: "Do not attempt to remove malware". In: zdnet.com. 19. Mai 2011, abgerufen am 16. Januar 2012 (englisch).
- ↑ Malware "Mac Defender" vermeiden oder entfernen. Apple, 24. Mai 2011, abgerufen am 18. Februar 2012.
- ↑ Informationen über das Sicherheitsupdate 2011-003. Apple, 31. Mai 2011, abgerufen am 18. Februar 2012.
- ↑ Eric Slivka: Apple and 'Mac Defender' Malware Authors Continue Cat-and-Mouse Game. In: macrumors.com. 20. Juni 2011, abgerufen am 16. Januar 2012 (englisch).
- ↑ Brian Krebs: Fake Antivirus Industry Down, But Not Out. In: krebsonsecurity.com. 3. August 2011, abgerufen am 16. Januar 2012 (englisch).
- ↑ Damon Poeter: MacDefender Scareware Linked to Russian Payment Site. In: PCMag.com. 27. Mai 2011, abgerufen am 18. Februar 2012 (englisch).
- ↑ Russia’s ChronoPay Executive Linked to Mac Defender Scam. In: International Business Times. 28. Mai 2011, abgerufen am 18. Februar 2012.