Beveiligingsonderzoeker Patrick Wardle heeft op honderden Macs een 'nieuwe' versie van de Fruitfly-backdoor aangetroffen, het is alleen onbekend hoe de machines besmet raakten. Begin dit jaar werd er voor het eerst voor Fruitfly gewaarschuwd, hoewel de malware waarschijnlijk al sinds 2014 in omloop is.

Eenmaal actief op een systeem kan de malware toetsaanslagen opslaan, de muiscursor bewegen, toetsaanslagen simuleren, screenshots maken en slachtoffers via hun eigen webcam bespioneren. Voor het terugsturen van data naar de aanvallers maakt de malware verbinding met een domein. Ook de Fruitfly-versie die Wardle aantrof, die mogelijk ook al jaren oud is, communiceert via een domein.

In het geval dit domein offline is kan Fruitfly verbinding met back-updomeinen maken. De aanvallers achter de backdoor hadden de back-updomeinen niet geregistreerd, wat Wardle besloot te doen. Zodoende maakten ongeveer 400 besmette Macs verbinding met zijn server. De onderzoeker had op deze manier de slachtoffers kunnen bespioneren. Hij besloot echter de FBI te informeren, aldus Vice Magazine.

De versie waar begin dit jaar over werd bericht werd op vier computers van onderzoeksinstellingen aangetroffen. De variant die Wardle vond was echter bij doorsnee gebruikers actief. Het ging voornamelijk om Amerikaanse gebruikers, waarbij een opmerkelijke concentratie in Ohio werd waargenomen. Volgens Wardle maakt iemand gebruik van de malware om mensen te bespioneren.

Opmerkelijk aan de malware is dat het onduidelijk is hoe slachtoffers besmet raken. Begin dit jaar rolde Apple al een update uit voor de in macOS ingebouwde virusverwijdertool XProtect. Of XProtect ook de nu ontdekte variant herkent is onduidelijk. Volgens Wardle wordt de malware door een "handvol" virusscanners herkend. De onderzoeker denkt dat de malware een 'eenmansoperatie' is, zo laat hij tegenover Threatpost weten. Wardle zal deze week tijdens de Black Hat conferentie in Las Vegas dieper op de werking van Fruitfly ingaan.