Em fevereiro de 2006, os usuários do Mac OS X levaram um grande susto: havia sido descoberto o primeiro vírus para o sistema. A praga virtual, conhecida como Leap ou Oompa Loompa, era praticamente inofensiva, já que não se espalhava pela internet. O malware era capaz de se movimentar apenas por redes locais (LAN), usando o protocolo Bonjour.
Além disso, não era nada fácil ser infectado pelo Leap. O usuário precisava se esforçar para isso: receber um arquivo TGZ via iChat, descompactá-lo, executá-lo e, no caso de usuários comuns, informar a senha do administrador para ganhar acesso às configurações do sistema.
Como se não bastasse, o vírus infectava apenas algumas aplicações e, mesmo assim, possuía um bug que impedia o aplicativo infectado de ser executado. Ou seja, ele colaborava com a própria extinção, já que, sem executar o “programa-vítima”, a praga não conseguia se espalhar. A solução para a ameaça era muito simples. Bastava remover o arquivo do Leap do computador e reinstalar as aplicações infectadas.
Mas, agora, os fãs do Mac OS X têm um problema novo para se preocupar. Em maio de 2011, se espalhou a notícia de uma nova ameaça, muito mais preocupante.
Mac Defender, a nova ameaça
Captura de tela com o Mac Defender em ação (Fonte da imagem: RealityPod)
O Mac Defender é um cavalo de troia que se disfarça de software antivírus. Dessa forma, os usuários mais desatentos acabam instalando, por engano, um software mal-intencionado. A imprensa especializada já considera o novo malware como o mais ameaçador já criado para o sistema operacional da Apple.
A instalação do Mac Defender também não é tão fácil de acontecer. O usuário precisa confirmar e interagir em algumas etapas do processo; a instalação do trojan não é invisível aos olhos do usuário, como no Windows.
Os responsáveis pelo malware usam uma técnica conhecida como spamdexing para fazer com que o link para o cavalo de troia seja mais visível ao usuário quando ele procurar imagens em mecanismos de buscas. Ao clicar na falsa figura, uma janela popup, com a aparência de uma aplicação nativa do Mac OS X, finge analisar o disco rígido da máquina e encontrar alguns vírus.
É nesse ponto que o usuário é impelido a baixar e instalar o “antivírus”. Pior ainda, o malware toma conta do navegador web da vítima, exibindo pornografia e expondo o usuário ao roubo de informações sigilosas, como o número do cartão de crédito.
Para instalar o falso software, é necessário informar a senha do usuário administrador da máquina e prosseguir com o processo de instalação até o final, clicar em botões do tipo “Próximo” e “Finalizar”. Ou seja, a pessoa tem que tentar bastante para ser infectado pelo Mac Defender.
Responsáveis pelo malware
O pesquisador de segurança online Brian Krebs investigou o caso e descobriu que a nova ameaça está relacionada com a ChronoPay, uma empresa russa de pagamento online. Em seu blog, Krebs conta que, ao analisar dois domínios que direcionavam o usuário para malware, ele encontrou o endereço “fc@mail-eye.com” como email de contato.
Ano passado, milhares de documentos internos e emails confidenciais da ChronoPay vazaram, graças a uma falha de segurança da companhia. Esses documentos revelam que a empresa russa é dona do domínio “mail-eye.com” e que mantém o site em servidores alemães. Os registros também indicam que o endereço de email “fc@mail-eye.com” pertence ao auditor da ChronoPay, Alexandra Volkova.
A empresa publicou um comunicado negando todas as acusações, porém, o passado da ChronoPay acaba pesando contra ela, já que essa não é a primeira vez em que a companhia se envolve em uma polêmica desse tipo.
Os filhos do Mac Defender
Um dos problemas causados pelo Mac Defender é que ele acabou gerando novas ameaças. Variantes do novo cavalo de troia já foram encontrados na internet sob o nome de Mac Protector, Mac Security e Mac Guard.
A variante Mac Guard é responsável por um “avanço”: o instalador do malware é iniciado sem que o usuário informe a senha do administrador. Apesar de mais perigoso, o processo de instalação ainda precisa ser completado manualmente, o que torna a infecção mais difícil. Mas todo cuidado é pouco. Se você não estava procurando um antivírus na internet, não tem por que instalar o software sugerido por uma janela popup.
Resposta da Apple
A empresa de Steve Jobs já publicou um comunicado sobre a nova ameaça, junto com um tutorial de como remover o cavalo de troia do computador e, até mesmo, com dicas de como evitá-lo. A Apple também prometeu uma atualização para o sistema operacional que será capaz de identificar e remover o Mac Defender da máquina infectada.
Ainda não apareceu um malware realmente preocupante para o Mac OS X, como as inúmeras pragas virtuais que afetam o Windows. Mas, talvez, a Maçã deva começar a reforçar ainda mais a segurança de seu sistema. Afinal, o que está em risco é um dos grandes diferenciais do produto.
[Atualizado]
A Apple liberou hoje (31) no começo da noite o Security Update 2011-003 para usuários do Mac OS X Snow Leopard. O pacote de atualizações traz mecanismos de proteção contra do malware MacDefender. Atualizado o sistema, ele é capaz de verificar os arquivos transferidos para o Mac em busca de códigos maliciosos, funcionando como uma espécie de antivírus nativo.