Eine “Fruit­fly” getaufte Malware konnte sich offenbar jahrelang unentdeckt auf mehreren hundert Macs einnisten. Die Schadsoftware arbeitet als Keylogger und kann sämtliche Tastatureingaben des Benutzers aufzeichnen. Die gesammelten Daten schickte die Software ebenso wie Webcam-Aufnahmen und Screenshots des Bildschirms an einen mittlerweile abgeschalteten Über­wach­ungs-Server der Betreiber. Zudem kann Fruitfly eigenständig die Tastatur und Maus des Rechners steuern und die Betreiber warnen, wenn der Besitzer sein System nutzt.

Der Sicherheitsexperte Patrick Wardle hat die Malware entdeckt und ihre Arbeitsweise ausführlich dokumentiert. Nach seinen Angaben handelt es sich bei den befallenen Systemen vorwiegend um die Macs von Privatpersonen in US-amerikanischen Haushalten, eine gezielte Attacke auf Firmenrechner könne man hingegen ausschließen.

Zudem sollen die Ersteller und Betreiber von Fruit­fly offenbar keinerlei finanzielle Interessen verfolgen. So findet sich im Code der Schnüffelsoftware kein Hinweis auf spezielle Funktionen, mit denen aus den gesammelten Tastatureingaben z.B. das Passwort für ein Online-Banking ausgelesen werden und gezielt abgegriffen werden soll. Auch eine Verschlüsselungs- und daraus resultierende Erpressungsfunktion wie z.B. die Ransomware WannaCry besitzt Fruitfly nicht.

Stattdessen geht Wardle davon aus, dass Fruitfly nach jetzigem Stand allein zum “Stalken” von Menschen eingesetzt wurde. Die Betreiber waren anscheinend über die verschiedenen Funktionen der Malware in der Lage, tiefe Einblicke in das gesamte digitale Leben der betroffenenen Nutzer zu erhalten. Vermutlich hat der Verzicht auf finanzielle Motive sogar dazu beigetragen, dass Fruitfly über so lange Zeit unentdeckt bleiben konnte.

Wie viele Systeme tatsächlich von Fruitfly infiziert wurden und wie lange der Schädling sein Unwesen trieb, ist bisher nicht bekannt. Mindestens eine Variante der Malware greift auf Code zurück, der Mac OS X aus dem Jahr 2000 zugeordnet werden kann. Eine weitere Variante lässt den Schluss zu, dass Anpassungen für das im Herbst 2014 erschienene OS X 10.0 Yosemite vorgenommen wurden.

Apple hatte nach ersten Hinweisen im Januar ein Update für macOS veröffentlicht, mit dem mindestens eine Variante von Fruitfly von den infizierten Rechnern beseitigt wurde. Bei der von Patrick Wardle untersuchten Version soll es sich um eine andere Variante handeln, über dern Arbeitsweise der Experte morgen auf der Black Hat Konferenz weitere Informationen mitteilen will. So ist z.N. bis heute nicht bekannt, wie die Malware auf die befallenen Rechner gelangt ist.

Fruitfly ist zwar weit von einer Epidemie entfernt, schon zahlenmäßig kann die Schadsoftware nicht mit den jüngsten Attacken auf veraltete Windows-Systeme mithalten. Dennoch stellt gerade der Umfang der Überwachungsmöglichkeiten erneut in Frage, wie sicher Macs bzw. Das installierte Betriebssystem wirklich sind. Viele Nutzer unterliegen dem Missverständnis, dass Systeme von Apple per se gegen jegliche Attacken geschützt sind, dabei werden auf dem Schwarzmarkt für Software längst Dienstleistungen für die gezielte Attacke der Systeme angeboten.

via arstechnica.com