Alerty na temat nowego zagrożenia opublikowały firmy SecureMac oraz Intego - zdaniem ich przedstawicieli, złośliwy program łączy w sobie cechy klasycznego konia trojańskiego oraz robaka. Trojan.osx.boonana.a (tej nazwy używa SecureMac, przedstawiciele Intego nazywają "szkodnika" OSX/Koobface.A) rozprzestrzenia się za pośrednictwem serwisów społecznościowych - Facebooka oraz Twittera.

Społecznośćiowy trojan

Po zainfekowaniu systemu trojan wyszukuje kontakty użytkownika w tych serwisach i wysyła do jego znajomych wiadomość, zachęcającą do obejrzenia klipu wideo. Po kliknięciu na zawarty w niej odnośnik użytkownik przenoszony jest na stronę WWW z osadzonym apletem Java, który bez wiedzy i zgody użytkownika instaluje w systemie złośliwy kod. Dzięki temu zainfekowany komputer może zostać wykorzystany do dalszego rozsyłania kopii "szkodnika". Co więcej, Trojan.osx.boonana.a umożliwia przestępcom zdalny dostęp do systemu i np. wykradanie danych.

Działanie tego programu jest faktycznie dość podobne do "modus operandi" windowsowego szkodnika Koobface (który również rozsyłał swoje kopie za pośrednictwem wiadomości w serwisach społecznościowych). Dlatego też przedstawiciele Intego sugerują, że obie aplikacje mogą być dziełem tego samego twórcy (lub twórców).

Dziura w Javie, nie Mac OS X

Warto odnotować, że Trojan.osx.boonana.a wykorzystuje do zaatakowania Mac OS X lukę w Javie, a nie w samym systemie - faktem jednak jest, że w tym konkretnym przypadku celem są użytkownicy komputerów firmy Apple. Mamy więc tu sytuację bardzo podobną do tej, z którą obecnie mają do czynienia użytkownicy Windows - większość ataków przeciwko nim również przeprowadzana jest obecnie przez luki w dodatkowych aplikacjach, a nie samym systemie (głównymi celami są ostatnio Adobe Reader, Adobe Flash Player oraz właśnie Java).

"Oto dowód, że użytkownicy Mac OS X również muszą liczyć się z zagrożeniami - ten system powoli zwiększa swój udział w rynku, nic więc dziwnego, że przestępcy zaczynają szukać w nim błędów i sposobów zaatakowania komputerów" - komentuje Nicholas Ptacek, specjalista ds. złośliwego oprogramowania z firmy SecureMac.

"Z naszych danych wynika, że ten szkodnik jest obecnie aktywny i odnotowaliśmy już pewną liczbę infekcji. Zagrożenie na szczęście nie jest jednak bardzo poważne - wydaje się bowiem, że złośliwy program nie działa do końca poprawnie. Faktem jednak jest, że mamy do czynienia z potencjalnie bardzo niebezpieczną aplikacją, która rozpowszechnia się niczym robak, infekuje system jak koń trojański, a na dodatek instaluje w systemie backdoora" - dodają przedstawiciele Intego.