Laut einer kürzlich
von Kaspersky veröffentlichten Untersuchung ist die Malware Shlayer die am weitesten verbreitete Mac-Malware – und das schon seit beinahe zwei Jahren. Die Malware soll auf 10 Prozent aller Macs, die Kaspersky überwacht, installiert sein.
Beim Shlayer-Trojaner handelt es sich dabei quasi um einen Übertragungsmechanismus für eine Vielzahl von anderer Malware. So gelangt Shlayer auf einen Mac und lädt dann, ohne den Rechner selber zu schädigen, anderen bösartigen Code, typischerweise Adware, herunter.
Aus der Sicht des Benutzers gibt es drei Stufen, in denen das geschieht. Die erste besteht darin, dass er auf einen Link zu einer Website klickt, die den Download des Shlayer-Trojaners auf dem Gerät des Benutzers auslöst. Kasperskys Bericht besagt, dass "Tausende von Websites" diesen Download enthalten, typischerweise weil die Sites mit Cyber-Kriminellen zusammenarbeiten würden. Aber auch legitime Websites können den Link enthalten.
"Dazu gehören Youtube, wo Links zu der bösartigen Website in Videobeschreibungen enthalten waren", so Kaspersky im Bericht, "und Wikipedia, wo solche Links in den Verweisen der Artikel versteckt waren."
Typischerweise führen Links dann zu Werbeseiten, die versuchen, die Nutzer zum Herunterladen von Software zu bewegen. Laut Kaspersky ist eine übliche Methode, gefälschte Nachrichten über den Update-Aufruf von Adobe Flash anzuzeigen. Die Schaltfläche Flash herunterladen lädt den Trojaner tatsächlich herunter. Nach dem Herunterladen wird der Benutzer dazu aufgefordert, eine Anwendung zu installieren.
Nach der Installation lädt der Shlayer-Trojaner dann selbst Adware oder andere bösartige Anwendungen herunter. Es handelt sich dabei aber immer um neue Anwendungen, die auf den betroffenen Mac heruntergeladen werden müssen, und daher können sie theoretisch nicht ohne die Erlaubnis des Benutzers installiert werden - aber Shlayer nutzt einen Trick, dies zu umgehen.
Ein Beispiel von Malware, die der Shlayer-Trojaner installiert, ist eine Safari-Erweiterung. Während MacOS zwar warnt, dass es sich um eine nicht erkannte Erweiterung handelt, überlagert der Shlayer diese Meldung mit einem gefälschten Dialogfeld, das besagt, dass die Installation abgeschlossen ist.
