Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Note Sécurité : Diverses applications Mac distribuées gratuitement installent le spyware OSX/OpinionSpy

juin 2010 par Intego Security Alert

Logiciel malveillant : OSX/OpinionSpy

Risque : élevé

Description : Intego a découvert un spyware installé par de nombreuses applications et
écrans de veille Mac distribués gratuitement et proposés par un grand nombre de sites Web.

Ce logiciel espion, appelé OSX/OpinionSpy, réalise diverses actions malveillantes, allant
de l’analyse de fichiers à l’enregistrement de l’activité de l’utilisateur, en passant par
l’envoi d’informations sur cette activité à des serveurs distants et l’ouverture d’une porte
dérobée sur les Mac infectés.

De nombreuses applications et écrans de veille distribués sur des sites tels que MacUpdate,
VersionTracker et Softpedia installent OSX/OpinionSpy. Le spyware lui-même ne se
trouve pas dans ces applications, mais il est téléchargé pendant le processus d’installation.
Cela met en évidence la nécessité de disposer d’un programme anti-malware à jour doté
d’un scanner en temps réel permettant de détecter ce logiciel malveillant lorsqu’il est
téléchargé par le programme d’installation de l’application d’origine.
Les informations fournies avec certaines de ces applications contiennent un texte
mensonger, que les utilisateurs doivent accepter, selon lequel un programme « d’étude de
marché » est installé avec l’application. Certains de ces programmes sont également
distribués directement à partir des sites Web des développeurs sans que cet avertissement
n’apparaisse.

Ce logiciel malveillant, dont une version existe pour Windows depuis 2008, prétend
récolter des informations sur la navigation et les achats des utilisateurs habituellement
utilisées dans des études de marché. Néanmoins, ce programme va beaucoup plus loin, car il réalise de nombreuses actions insidieuses qui ont conduit Intego à le classer comme logiciel espion.

OSX/OpinionSpy réalise les actions suivantes :

• Cette application, dépourvue d’interface, est exécutée en tant que « root » (elle
demande un mot de passe administrateur lors de l’installation) et dispose de tous les
privilèges pour accéder à n’importe quel fichier sur l’ordinateur de l’utilisateur
infecté et le modifier.

• Si, pour quelle que raison que ce soit, l’application cesse de s’exécuter, elle est
relancée via launchd, la fonction de lancement de services à l’échelle du système.

• Elle ouvre une porte dérobée HTTP à l’aide du port 8254.

• Elle analyse les fichiers de tous les volumes accessibles, ce qui consomme une
grande quantité de ressources du processeur. On ne sait pas clairement quelles
données elle copie et envoie à ses serveurs, mais elle analyse les fichiers des
volumes locaux et réseau, et ouvre potentiellement un grand nombre de fichiers
confidentiels du réseau à des intrus éventuels.

• Elle analyse les paquets entrant et sortant du Mac infecté via un réseau local, c’està-
dire les données reçues ou envoyées à d’autres ordinateurs. Un Mac infecté peut,
par conséquent, collecter un grand volume de données provenant de différents
ordinateurs d’un réseau local, comme une entreprise ou un établissement scolaire.

• Elle injecte du code, sans intervention de l’utilisateur, dans Safari, Firefox et iChat,
et copie des données personnelles depuis ces applications. L’injection de code
constitue un comportement semblable à celui des virus ; ce malware « infecte » des
applications lorsqu’elles sont en cours d’exécution afin de pouvoir réaliser ses
opérations malveillantes. (Elle infecte le code des applications dans la mémoire du
Mac, mais n’infecte pas les fichiers des applications eux-mêmes qui se trouvent sur
le disque dur de l’utilisateur.)

• Elle envoie régulièrement des données, cryptées, à une série de serveurs via les
ports 80 et 443. Elle envoie des données à ces serveurs concernant des fichiers
qu’elle a analysés localement, ainsi que des adresses e-mail, des en-têtes de
messages iChat, des URL et d’autres données. Ces données peuvent inclure des
données personnelles comme des noms d’utilisateur, des mots de passe, des
numéros de carte de crédit, des signets de navigateur Web, des historiques et bien
plus encore.

• Compte tenu des données qu’elle rassemble, la société qui se trouve derrière ce
spyware peut stocker des enregistrements détaillés concernant les utilisateurs, leurs
habitudes, leurs contacts, le lieu où ils se trouvent, etc.

• L’application peut facilement être mise à niveau, avec l’ajout de nouvelles fonctions,
sans aucune intervention et à l’insu de l’utilisateur. Elle demande parfois des
informations à l’utilisateur, comme son nom, via l’affichage de boîtes de dialogue
ou l’invite à répondre à des enquêtes.

• Il arrive dans certains cas que les ordinateurs où ce logiciel espion est installé ne
fonctionnent plus correctement après un certain temps. Il est nécessaire de forcer le
redémarrage de ces Mac.

• Si l’utilisateur supprime l’application d’origine ou l’écran de veille qui a installé le
spyware, le logiciel espion restera installé et continuera de fonctionner.
Comme nous l’avons vu, cette application qui prétend collecter des informations pour des
raisons d’étude de marché, effectue en réalité beaucoup d’autres opérations, et va jusqu’à
analyser tous les fichiers se trouvant sur un Mac infecté. Les utilisateurs n’ont aucun moyen
de savoir exactement quelles données sont récupérées et envoyées à des serveurs distants,
mais ces données peuvent inclure des noms d’utilisateur, des mots de passe, des numéros de
cartes de crédit, etc. Le risque que ces données soient collectées et utilisées sans
l’autorisation des utilisateurs rend ce spyware particulièrement dangereux pour ce qui est de
la vie privée des utilisateurs.

Le fait que cette application collecte des données de cette manière et qu’elle ouvre une
porte dérobée constitue une menace très sérieuse contre la sécurité. En outre, le risque
qu’elle récolte des données sensibles comme des noms d’utilisateur, des mots de passe et
des numéros de carte de crédit, font de cette application un spyware présentant un risque
très élevé. Bien que sa distribution soit limitée, nous encourageons les utilisateurs Mac à
redoubler d’attention lorsqu’ils choisissent de télécharger et d’installer un logiciel.

Moyens de protection : Intego VirusBarrier X5 et X6 détectent et éliminent ce logiciel
malveillant, qu’ils identifient sous le nom de OSX/OpinionSpy, grâce à leurs filtres contre
les menaces datant du 31 mai 2010 ou ultérieurs.


Voir les articles précédents

    

Voir les articles suivants