MAC Defender

MAC Defender (auch Mac Defender, Mac Security,^[1] Mac Protector,^[2] Mac Guard^[3] und Mac Shield^[4]) war ein im Mai und Juni 2011 aktives Schadprogramm für das Betriebssystem Mac OS X. Es handelte sich um einen Scareware-Trojaner, der sich nur durch Mithilfe des Nutzers verbreiten kann. Dennoch war MAC Defender das erste weit verbreitete Schadprogramm für Mac OS X.^[5]^[6]^[7]^[8]

Symptome

Das Programm erscheint in bösartigen Links, welche durch Indexspamming über Seiten wie Google Bildersuche verbreitet werden. Wenn ein Benutzer einen solchen bösartigen Link aufruft, erscheint eine Warnmeldung über Virenbefall des Rechners. Anfangs war diese Warnmeldung im Stil von Windows XP gehalten, wurde später aber durch einen für Mac OS X typischen Stil ersetzt.^[9] Die Internetseite gibt vor, die Systemfestplatte gescannt und dabei Viren entdeckt zu haben. Daraufhin wird der Benutzer aufgefordert MAC Defender zu installieren, welches vortäuscht ein Antivirenprogramm zu sein. Um Nutzern einen Malware-Befall vorzutäuschen, öffnet MAC Defender nach der Installation zufällig Pornoseiten im Browser. Für ein Entfernen dieser vorgetäuschten Malware soll der Nutzer dann eine Lizenz zu einem Preis zwischen 59,95 $ und 79,95 $ kaufen. Darüber hinaus werden die eingegebenen Kreditkartendaten über entsprechende illegale Kanäle weiterverbreitet.^[10]

Entwicklung

Die Sicherheitssoftware-Firma Intego berichtete erstmals am 2. Mai 2011 über das angebliche Antivirenprogramm MAC Defender.^[11]

Neue Varianten

In den folgenden Tagen tauchten mehrere neue Varianten der Malware unter den Namen Mac Security oder Mac Protector auf.^[1]^[2]

Eine Ende Mai unter dem Namen Mac Guard erschienene Variante installiert sich im Benutzerverzeichnis des angemeldeten Benutzers, sodass zur Installation keine Passworteingabe notwendig ist. Der Nutzer muss die Installation jedoch weiterhin manuell bestätigen.^[3] Auch hiervon erschienen in den folgenden Tagen mehrere Varianten, teils unter dem Namen Mac Shield.^[4]

Reaktion von Apple

Der Blogger Ed Bott von ZDNet berichtete, dass die Anzahl der Supportanrufe vier- bis fünfmal höher war als üblich. Bis zum 24. Mai 2011, also innerhalb von knapp drei Wochen, gingen seiner Schätzung nach etwa 60.000 Anrufe beim AppleCare-Support zum Thema MAC Defender ein. Die Support-Mitarbeiter wurden laut Bott angewiesen, bei der Entfernung der Malware keine Hilfe zu leisten. Laut einem ungenannten Support-Mitarbeiter sollte diese Regelung verhindern, dass sich Nutzer an den technischen Support wendeten, statt Antivirensoftware einzusetzen.^[12]^[13]

Am 24. Mai 2011 veröffentlichte Apple eine Anleitung zur Prävention und Entfernung der Malware.^[14] Am 31. Mai 2011 veröffentlichte Apple ein Sicherheitsupdate für Mac OS X, welches den Trojaner von infizierten Macs entfernt und Mac OS X um eine automatische Aktualisierung der Malware-Definitionen erweitert.^[15]

Aufklärung

Bis zum 18. Juni erschienen mehrere neue Varianten der Malware, auf die Apple mit täglichen Aktualisierungen der Malware-Definitionen reagierte.^[16] Diese Entwicklung endete, nachdem die russische Polizei am 23. Juni Geschäftsräume des russischen Bezahldienstleisters ChronoPay durchsucht hatte, der für MAC Defender und eine ganze Reihe ähnlicher Programme verantwortlich ist.^[17]

Der Ursprung der Software wurde über die E-Mail-Adresse des Buchhalters von ChronoPay zurückverfolgt. Diese Adresse wurde zur Registrierung mehrerer Internetseiten verwendet, auf welche Anwender geleitet wurden, um die vermeintliche Antivirensoftware zu kaufen.^[18]^[19]

Einzelnachweise

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

Search