Даследчыкі знайшлі вірус для камп'ютараў Mac, які заставаўся незаўважаным некалькі гадоў. У віруса багатыя магчымасці, але пры гэтым незразумела, наколькі актыўна ён імі карыстаецца. Як невядомыя яго стваральнікі і якім шляхам ён заражае камп'ютары. Пра вірус падрабязна расказала выданне Motherboard; «Медуза» пераказала самае важнае з гэтага матэрыялу.
У студзені 2017 года антывірусная кампанія Malwarebytes выявіла вірус для камп'ютараў Mac, што вялікая рэдкасць — прадукцыя Apple лічыцца значна больш абароненай, чым Windows або Android. Вірус знайшлі на чатырох камп'ютарах у біямедыцынскіх даследчых цэнтрах. Даследчыкі адзначалі, што ў кодзе віруса (яго назвалі FruitFly — «пладовая мушка») утрымліваюцца адсылкі да старых версій аперацыйнай сістэмы OS X і бібліятэк, якія не абнаўляліся з канца 90-х. Можна выказаць здагадку, што шкоднасная праграма існавала як мінімум з 2014 года — і яе ніхто не заўважаў.
У справаздачы Malwarebytes гаварылася, што аднайменны антывірус цяпер умее знаходзіць вірус, а Apple выпусціла абнаўленне для абароны ад яго далейшага распаўсюджвання. Але праз некалькі месяцаў былы хакер Агенцтва нацыянальнай бяспекі ЗША Патрык Уордл наткнуўся на яшчэ адзін асобнік такога віруса. FruitFly 2, па яго словах, не вызначаўся ні адным антывірусам, мог быць створаны яшчэ раней — каля пяці ці нават дзесяць гадоў таму — і паспеў заразіць прынамсі некалькі сотняў камп'ютараў, у тым ліку тых, якія належаць прыватным асобам.
Мяркуючы па ўсім, галоўнае прызначэнне віруса — шпіёніць за дзеяннямі карыстальнікаў. Ён можа «падглядваць» праз вэб-камеру, рабіць скрыншоты экрана, рэгістраваць націсканні на кнопкі клавіятуры. Праграма таксама ўмее перахопліваць кіраванне курсорам мышы і клавіятурай і папярэджваць хакераў, калі ўладальнік камп'ютара вяртаецца да працы.
У вірусе была закладзеная магчымасць адпраўляць даныя сваім стваральнікам. Пры гэтым у кодзе было прапісана некалькі альтэрнатыўных даменных імёнаў на выпадак, калі адрас асноўнага сервера аказацца недаступны. Уордл выявіў, што запасныя дамены былі вольныя, зарэгістраваў іх і запусціў вірус на віртуальнай машыне.
Пасля гэтага адбылося тое, чаго даследчык не чакаў: да зарэгістраваных ім даменаў падключыліся каля 400 камп'ютараў, заражаных вірусам. Уордл мог сабраць інфармацыю з гэтых камп'ютараў або перахапіць іх кіраванне, але замест гэтага ён звярнуўся ў ФБР. Ведамства вядзе расследаванне, але ніякіх дэталяў не раскрывае. Apple таксама не каментуе інфармацыю аб вірусе.
Даследчыкі не змаглі знайсці слядоў стваральнікаў FruitFly і не разумеюць, каму ён мог быць выгадны. Ён недастаткова складаны, каб западозрыць падкантрольных уладам хакераў; ён не спрабуе красці паролі і даныя крэдытных картак карыстальнікаў, каб быць цікавым для злачынцаў. Як вірус аказваецца на камп'ютарах ахвяр, таксама невядома.
