研究者たちは、これらの疑わしい指示に従う代わりに、「パッケージの内容を表示」を選択し、アプリが何を隠しているのかを確認しようとしました。「DumpMedia Spotify Music Converter」という正規のバンドルファイルを見つけたものの、開発者IDのない疑わしい実行ファイルも発見しました。通常、このファイルはAppleのGatekeeperプログラムを作動させ、アプリの起動をブロックしますが、悪意のある開発者は潜在的な被害者が意図せずこれらの保護を回避してしまうように仕向けたのです。

研究者たちはその後、このソフトウェアを開いてテストを行い、すぐにマシンに関する情報の収集と多数のプロセスの実行を開始したことを発見しました。興味深いことに、このプログラムは、コンピューターがアルメニア、ベラルーシ、カザフスタン、ロシア、またはウクライナに設置されていることを検出すると、処理を続行しません。さらにプロセスを実行した後、「macOSはシステム設定にアクセスする必要があります」というプロンプトが表示され、こっそりとパスワードを要求します。パスワードを入力すると、プログラムはパスワードを保存します。そして、パスワードが正しいことを確認します。

ここから、プログラムはFinder、ダウンロード、マイクへのアクセス許可を求め、Macのハードウェアに関する詳細情報を収集し続けます。その後、Safari（ブックマーク、Cookie、履歴を含む）、メモ、キーチェーン（パスワードを含む）からファイルを収集します。それだけでは侵入力が足りないかのように、マルウェアはスクリーンショット機能を起動し、スクリーンショットを撮るたびにスピーカーをミュートします。そのため、スクリーンショットを撮るたびに音が聞こえず、何が起こっているのか分からなくなります。

その間、宣伝通り実際にプログラムが実行されており、バックグラウンドで悪意ある処理が行われていることを被害者は知る由もありません。研究者によると、DumpMediaはこれらの悪意あるアプリをホストしているサイトの一つに過ぎません。TuneSolo、FoneDog、TunesFun、TuneFabといった他のサイトも、同様のストリーミングコンバーターアプリや、同じマルウェアを仕込んだAndroid復元ツールをホストしています。

このマルウェアやその他のマルウェアからMacを保護する方法

この話は、Mac、PC、Android、iOSデバイス（少なくともEU圏内）など、Webから直接デバイスにアプリをダウンロードする際には注意が必要だという、良い教訓を与えてくれます。インターネット上には（Google PlayやiOS App Storeのようなアプリストアではなく）正規のアプリがたくさんありますが、中には正規ではないものも数多く存在するため、ダウンロードする前に各プログラムを精査することが重要です。

アプリについて調べ、他のユーザーがアプリとそのホストサイトの両方で良い経験をしているかどうかを確認してください。ちなみに、アプリは開発者自身からダウンロードするのが最も安全です。例えば、DumpMediaがサードパーティ製のアプリをホストしている場合、アプリの開発者が直接提供している場合よりもリスクが高くなります。

さらに、Macに搭載されているマルウェア対策を決して無視しないでください。アプリをアプリケーションフォルダにドラッグするのではなく、右クリックして開くとGatekeeperを回避できることをご存知ない方もいるかもしれませんが、実際には回避できます。通常の手順でインストールしたのにmacOSがアプリに問題があると表示してきたら、信じてください。可能な場合はApple公式App Storeからアプリをダウンロードし、そうでない場合は特に注意してください。

次の記事へスクロールしてください