Novo malware para Mac OS X finge ser PDF (e não funciona como deveria)

Um novo tipo de malware para Mac OS X foi detectado hoje na web. Ele segue o mesmo modus operandis dos demais malwares para a plataforma: precisa ser voluntariamente instalado e depois disso passa a executar atividades maliciosas no computador em que está. Esse malware, no entanto, tem duas particularidades interessantes. A primeira: ele se comporta como um vírus para Windows, se disfarçando de um arquivo em PDF com duas extensões. A segunda: não funciona como deveria.

O malware foi encontrado por meio do site VirusTotal, que é um serviço que recebe dezenas de milhares de arquivos por dia e os rastreia usando as últimas definições da grande maioria de anti-vírus disponível. Ele é composto de dois elementos, o OSX/Revir.A (ou Revir-B, dependendo da variação) e o OSX/Imuler.A. O primeiro é um aplicativo que finge ser um arquivo PDF e que, ao ser executado, exibe mesmo um PDF em chinês, que a princípio parece inofensivo. Mas por trás dos panos ele está instalando o segundo elemento, que abre uma backdoor no Mac OS X para comunicação com um servidor.

Até aí, eles parecem relativamente perigosos, já que tem capacidade de se comunicar com um site específico. Mas segundo a empresa de segurança Sophos, ele não faz nenhuma tarefa maliciosa além dessa. O site com que ele se comunica ainda não passa de uma instalação limpa do Apache. E ao ser testado nos laboratórios da empresa, ele “não foi executado como o autor provavelmente pretendia” embora dentro do seu código tenha sido encontrado variáveis que denotam as intenções maliciosas do seu criador.

A teoria, segundo a empresa de segurança F-Secure, é de que o autor enviou um arquivo de exemplo para o VirusTotal, para saber se seria detectado ou não. Vou chutar que ele não passou no teste.