Macへアドウェアをインストールするだけでなく、自動的にキーチェーンへのアクセス許可をクリックさせるインストーラーが発見される。

シェアする

スポンサーリンク

 OS X向けアドウェアのインストールだけではなく、巧妙にキーチェーンへのアクセス許可を取り付けるインストーラーが発見されたそうです。詳細は以下から。


Genieo-installer-Revolution-Hero


 Malwarebytes社の主任研究員Thomas ReedさんによるとMac用ユーティリティアプリMacKeeperやアドウェアを同梱し、目的のアプリのインストールと同時に同梱アプリをインストールする”Genieoインストーラー”が新たに進化しているそうです。

Now Malwarebytes researcher Adam Thomas, who discovered that issue, has found a newer variant of this installer that’s pulling some new tricks.
[Genieo installer tricks keychain – Malwarebytes]

新しいインストーラーの挙動

 新しいGenieoインストーラーは以前と同様、目的のアプリのインストールに見せかけ管理者パスワードを入力させMac用ユーティリティアプリMackepperやSafariの機能拡張VSearchなどをインストールするのには変わりありませんが、新たな機能として自動的にキーチェーンへのアクセスを許可をする機能が備わっているそうです。


Genieo-installer-on-Parallels-Desktop-1

When running the installer, it will ask for an admin password, then proceed to show license agreements for DealTop, OptimumSearch and MacKeeper. If the user agrees to all, the installer will seem to end at a prompt to open the App Store to download the Download Shuttle app.

[Genieo installer tricks keychain – Malwarebytes]

 このインストーラーに目的のアプリ(ここではFIPLABが開発しているDownload Shuttle)のインストールを許可すると管理者パスワードを入力を求められ、インストーラーがアドウェアをインストール後、キーチェーンにアクセス許可を与えるプロンプトが表示され自動的に「許可する」ボタンが押されてしまいます。



What’s so interesting about this, you may ask? Quite simply, the fact that the Allow button in the alert is automatically clicked as soon as it appears!

[Genieo installer tricks keychain – Malwarebytes]

 この操作はインストーラーに管理者権限を与えたことで、以下のプロンプトの位置判定とマウスイベントが含まれたコードが実行され、キーチェーンへのアクセス許可ボタンを自動的にクリックさせるそうで、


Mac-adware-keychain-alert-click2

This Installer app contains the code that Adam identified, to locate the Allow button from this keychain alert on the screen, and to simulate a click on that button.

[Genieo installer tricks keychain – Malwarebytes]

 同様のインストーラーを手に入れたので試してみましたが、管理者パスワードを入力すると”Installer”というイメージファイルがデスクトップ上にマウントされ、その後一瞬だけキーチェーンアクセスのプロンプトが表示、この時キーチェーンに”Safari Extensions List”というアプリケーションパスワードを生成し、Safari機能拡張”Leperdvil”がインストールされ、最後に”Installer”が自動的にアンマウントされました。


Genieo-installer-on-Parallels-Desktop-4
Genieo-installer-on-Parallels-Desktop-3

 Malwarebytesではこの新種のアドウェアを「GenieoインストーラーがSafari機能拡張”Leperdvil”をインストールするのは既に確認されており、このハックは必要無いはずです。おそらくAppleがOS X 10.11 El CapitanでSafariの機能拡張をADPに統合しSafari Extensions Gralleryを通した配布方法に変更するための回避策として開発したのだろう」と推測しており、また「この悪意のあるインストーラーを少しの変更するだけで、アドウェアがキーチェーンからiCloudなどのユーザーパスワードを入手することも可能になるだろう」ともコメントしています。

This seems like an unnecessary hack, considering that Genieo installers have been installing Safari extensions for years. Perhaps it’s an attempt to get around changes to handling of Safari extensions in the upcoming El Capitan (OS X 10.11).
[…]
With a few minor changes, the adware could get access to other things from the keychain, like the user’s iCloud password.

[Genieo installer tricks keychain – Malwarebytes]

 この様な巧妙なインストーラーは既に多く存在し、システムが仮想環境上のMacか実際のMacかを判定し、セキュリティ研究者がインストーラー解析をするのに使用しない実際のMacで実行された時のみアドウェアをインストールするものなどが既に確認されているので、Macユーザーの方はより一層の注意が必要になると思われます。


Real-Mac-MplayerX-Install-Process2

関連リンク: