Trojaner nutzt Supermodel als Spionin

Nach einer Meldung im Sophos Blog Naked Security nutzt OSX/Imuler-B ein Foto, auf dem das russische Supermodel Irina Shayk nur leicht bekleidet posiert. Allerdings handelt es sich beim vermeintlichen Bild um eine Anwendung, die im Hintergrund eine Backdoor öffnet. Beim ersten Start löscht der Trojaner sein Transportprogramm und erstellt eine gleichnamige JPG-Datei. Die eingeschleuste Malware lädt dann persönliche Daten des Mac-Nutzers über das Internet auf den Server der Angreifer.

Der Trick, über den sich der Trojaner auf dem Computer einnistet, ist seit langem vor allem aus der Windows-Welt bekannt. Die heruntergeladene Datei sieht auf den ersten Blick aus wie eine Bilddatei, ist aber in Wirklichkeit ein ausführbares Programm. Mac OS blendet genau wie Windows Dateinamenserweiterung aus. Diese spielen hier ohnehin nur eine untergeordnete Rolle, weil das Betriebssystem den Dateityp auch ohne Erweiterung erkennen kann. Der Nutzer muss schon genau hinsehen, um den Unterschied zwischen einer Anwendung und einem Bild zu erkennen. Der Finder zeigt den Typ in der Detailansicht in der letzten Spalte „Art“ an. Hier steht bei Anwendungen „Programm“ und bei Bildern beispielsweise „JPEG-Bild“. Wie unter Windows ist es auch bei Mac OS X empfehlenswert, die Dateinamenserweiterung einzublenden. Das geht über „Finder, Einstellungen“ auf der Registerkarte „Erweitert“. Setzen Sie ein Häkchen vor „Alle Dateinamensuffixe einblenden“.

In Mac OS ist allerdings eine Sicherung eingebaut, die vor dem versehentlichen Start von Programmen warnen soll. Beim ersten Start eines heruntergeladenen Programms gibt es eine Warnmeldung. Erst wenn der Benutzer hier auf „Öffnen“ klickt, wird das Programm tatsächlich ausgeführt. Wenn die Warnmeldung bei einer vermeintlichen Bilddatei auftaucht, sollte der Nutzer auf jeden Fall misstrauisch werden.