Malware para Mac burla o Gatekeeper usando uma Developer ID válida

O Gatekeeper no OS X tornou o sistema mais seguro ao restringir os aplicativos de fora da App Store que podem ser executados. Por padrão os apps baixados de outras fontes (de sites de downloads ou mesmo dos seus sites oficiais) só rodam na versão atual do OS X se o pacote estiver assinado com uma ID de desenvolvedor da Apple. Apenas desenvolvedores registrados possuem o benefício, o que deve afastar programas maliciosos do OS X.

O Gatekeeper pode ser configurado para permitir a execução dos apps não assinados, o que é muito simples de ser feito nas configurações. Isso é necessário para programas antigos ou mesmo os novos não assinados, já que nem todo criador de app tem o registro na Apple – que por sinal é pago. Cada app de fora da App Store não precisa ser aprovado pela Apple, basta ser assinado por uma Developer ID válida para passar pelo bloqueio.

Bloqueando por padrão a execução dos aplicativos não assinados o OS X fica bem mais protegido para a maioria dos usuários. Apenas os aplicativos da App Store poderão ser utilizados sem confirmação (eles são analisados previamente pela Apple), além daqueles baixados de outras fontes que contam com uma Developer ID válida. Normalmente um vírus, malware ou plugin malicioso qualquer não teria a Developer ID nem estaria na App Store. É, normalmente. Nem sempre.

Durante a Oslo Freedom Forum, que ocorreu de 13 a 15 de maio, o pessoal da F-Secure identificou um backdoor até então desconhecido no Mac de um dos ativistas. Para surpresa dos pesquisadores ele era assinado com uma Developer ID, rodando sem restrições mesmo com o Gatekeeper ativado.

O aplicativo (macs.app) era configurado para iniciar automaticamente com a sessão e sua principal função era capturar imagens de tela, potencialmente enviando-as a servidores remotos (ao menos duas URLs foram identificadas nas análises).

A identificação ficou como OSX/KitM.A.
(SHA1: 4395a2da164e09721700815ea3f816cddb9d676e) (mais detalhes aqui).

Até o momento não ficou claro se a Developer ID usada para assinar o macs.app foi “roubada” por um terceiro qualquer, ou se o próprio dono decidiu assinar o malware com sua conta real na Apple.

Aparentemente não há outros relatos públicos de Macs infectados com este malware, mas o caso serviu para mostrar que nem mesmo com o Gatekeeper ativado dá para confiar e sair rodando qualquer app baixado por aí.