Популярный антивирус для Mac оказался китайским шпионом

Безопасность Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Роман Георгиев
В Apple Mac App Store долгое время располагались несколько приложений, которые занимались кражей пользовательских данных. Реагировать на них Apple смогли заставить только публикации в СМИ.

В нарушение правил

Компания Apple удалила из Mac App Store приложение Adware Doctor, которое позиционировалось как средство защиты от вредоносного ПО для Mac.

Эксперты по безопасности обнаружили, что Adware Doctor собирала сведения о действиях пользователя и отправляла их на удалённый сервер. До удаления Adware Doctor занимал первую строчку по популярности в Mac App Store среди платных приложений.

Эксперт по безопасности Патрик Уордл (Patrick Wardle) обнаружил, что Adware Doctor формирует некий файл - архив history.zip, защищённый паролем. Этот архив приложение пересылает на облачный сервер adscan.yelabapp.com, который, по-видимому, управляется из Китая.

Уордлу удалось вскрыть архив. Оказалось, что Adware Doctor собирает историю из браузеров Chrome, Firefox и Safari, а также составляет реестр всех активных процессов и всех приложений, установленных в системе.

Уордл отметил, что при установке приложение запрашивает доступ к системным файлам и начинает, по его словам, «обходить нормальную защиту «песочницей» Apple».

macspy600.jpg
Обладающий отличными пользовательскими отзывами антивирус для Mac
Adware Doctor собирал сведения о действиях пользователя
и отправлял их на удалённый сервер

В результате приложение может собирать данные, к которым у него по идее не должно быть доступа: история браузеров относится к категории приватной информации, её сбор противоречит правилам Mac App Store.

Для чего осуществлялся сбор этих данных, до конца не ясно. К настоящему времени приложение удалено из App Store. Это, впрочем, произошло только после нескольких публикаций в СМИ. О вредоносной функциональности приложения Apple предупредили ещё месяц назад.

Доктор, маньяк и накрутки

Уордл отметил целый ряд интересных подробностей.

Во-первых, Adware Doctor является, судя по всему, переработкой более раннего приложения Adware Medic, также по существу мошеннического. Adware Medic называется практически так же, как действительно популярное приложение AdwareMedic, которое теперь принадлежит антивирусной компании Malwarebytes, а её автор Томас Рид (Thomas Reed) теперь и сам является сотрудником Malwarebytes.

Приложение обладало очень высоким рейтингом (4,8 баллов) и находилось в первой пятёрке самых продаваемых приложений, что означало, что оно высвечивалось на официальном сайте Apple. Уордл считает, что это - результат мошеннических накруток. Потому что из-под множества восторженных отзывов проглядывали сугубо негативные рецензии, куда больше напоминавшие написанные непредвзятыми - и очень разочарованными - пользователями.

Отдельное внимание Уордла привлекло имя предполагаемого разработчика: Ёньмин (Яньмин) Чжан (Yongming Zhang). Чжан Яньмин - это серийный маньяк-убийца, казнённый в Китае в 2013 г. за убийства 11 человек.

Уордл считает, что выбор псевдонима был не случайным.

И это ещё не все

Компания Malwarebytes опубликовала материал, в котором назвала ещё несколько приложений из Mac App Store, занимающихся несанкционированных сбором пользовательских данных. Помимо Adware Doctor, названы Open Any Files: RAR Support, Dr. Antivirus и Dr. Cleaner. Некоторые из них до сих пор доступны в магазине.

Подводя итоги, эксперты Malwarebytes признают, что безопасность Apple Mac App Store переоценена: «тихой гаванью» его назвать нельзя, особенно потому, что Apple в последнее время с большой задержкой реагирует на сообщения экспертов об обнаружении вредоносных приложений.

«Apple много лет старалась доказать всем, что её «закрытая экосистема» намного безопаснее, чем экосистема PC, и что магазины приложений надёжно защищены от проникновения туда любых вредоносных программ, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Однако, как мы видим, безсбойных защитных механизмов не бывает, и в магазины Apple также просачиваются вредоносные программы, чьи создатели находят способы водить за нос и конечных пользователей, и администраторов App Store. Кроме того, с ростом числа пользователей систем Apple растёт и интерес злоумышленников, а значит, таких ситуаций будет всё сложнее избежать».