De hoeveelheid malware waar Mac OS X gebruikers mee te maken krijgen is nog altijd extreem laag in vergelijking met Windows systemen, toch wordt ook deze groep steeds interessanter voor virusschrijvers, laat Roel Schouwenberg in een interview met Security.nl weten. Al vorig jaar waarschuwde de virusanalist van Kaspersky Lab voor de groei van Mac malware. De meeste malware weet Mac systemen via social engineering te infecteren. Het gaat dan om kwaadaardige downloads of video codecs, die vervolgens de DNS-instellingen wijzigen.

Toch kent de malware zijn eigen evolutie. Ging het twee jaar geleden nog om alleen de "DNS-changer malware", nu zijn het Trojan downloaders die vervolgens de DNS-changer downloaden. "Het feit dat ze het nog steeds doen, geeft aan dat het effectief genoeg is", zegt Schouwenberg. Hij denkt dat er één groep achter de malware zit, die het rendabel genoeg vindt om dit naast de Windows malware te doen.

Onlangs sprak Schouwenberg met een systeembeheerder van een universiteit die al verschillende DNS-changers voorbij had zien komen, terwijl de universiteit pas twee weken open was. "Mensen raken geïnfecteerd, maar merken dit in de meeste gevallen niet." Daarom zijn nep-virusscanners ook zo'n groot succes, omdat die wel zichtbaar zijn. De DNS-changers worden voornamelijk ingezet voor "clickfraude" in plaats van phishing. Hoewel dit voor de eindgebruiker minder nadelig is, kunnen ze nog steeds allerlei informatie pakken. "Als je een standaard HTTP website bezoekt die je naar HTTPS moet doorsturen, als ze dat zelf kunnen doen, zul je geen waarschuwing krijgen omdat je nooit naar de HTTPS site toegaat."

Apple virusscanner
Het probleem van dit soort malware is inmiddels ook bij Apple doorgedrongen, dat de onlangs uitgebrachte Snow Leopard van een ingebouwde "virusscanner" voorzag. De scanner herkent twee soorten malware, waaronder de DNS-changer. Maar volgens Schouwenberg verschijnen er regelmatig nieuwe versies van de malware. "Tot op heden heb ik nog geen updates van de virusscanner gezien."

Schouwenberg was verrast over de aanwezigheid van de virusscanner. Hij denkt dat het meer een marketingtruc van Apple is dan een echte poging om iets aan het probleem te doen. "Aangezien het ding op CRC-niveau werkt en de scanner maar vijf CRC's herkent, en er sinds de release van Snow Leopard geen updates zijn uitgekomen, maar wel nieuwe CRC's, lijkt het voornamelijk marketing te zijn." De virusexpert vraagt zich ook af of Apple wel de infrastructuur heeft om mensen naar malware te laten zoeken en signatures te ontwikkelen. "Dat lijkt erg onwaarschijnlijk momenteel."

Ook wat betreft het patchbeleid is Schouwenberg niet over Apple te spreken. "Ze hebben nog een lange weg te gaan, maar lijken ermee weg te komen." Een ander voorbeeld is het uitschakelen van tethering op de iPhone. "Als Microsoft zoiets zou doen, dan zou de pleuris uitbreken. De Mac heeft nog steeds een bepaalde aanhang en daar lijken ze nog steeds met van alles en nog wat weg te komen."

Toekomst
Voor de toekomst verwacht Schouwenberg meer Mac malware. Zo zijn er al verschillende BitTorrents met Trojaanse paarden verschenen die tienduizenden machines wisten te besmetten. "Ik denk dat de wereldwijde economische situatie heeft meegeholpen met de langzame ontwikkeling van Mac malware, omdat Apple nog steeds dezelfde prijzen hanteert en die liggen hoger dan voor een Windows PC."

Daarnaast blijft veel malware ook onder de radar van anti-virusbedrijven. "Ik durf zelfs te zeggen dat er genoeg malware is die wij niet zien." De meeste virusbestrijders zijn ook niet gespecialiseerd in het vinden van Mac malware. "Daar ligt het probleem, de meesten hebben niet eens een Mac product en geven het lage prioriteit."

Om gebruikers tot het installeren van nep-codecs te verleiden laten de virusschrijvers inmiddels zelfs geluid horen, zodat de gebruiker denkt dat het om een werkend filmpje gaat. "Dat is slim gevonden." Het gaat dan met name om zogenaamde pornosites. De malware die de sites aanbieden wordt regelmatig aangepast, wat volgens Schouwenberg teken is dat cybercriminelen genoeg hinder van de wel aanwezige virusscanners ondervinden. De echte Mac malware doorbraak laat zolang het Windows aandeel zo groot is nog op zich wachten. Daarnaast kennen de "bad guys" Windows ook het best. Toch verwacht de virusbestrijder dat Mac malware eerder een probleem zal worden dan malware voor mobiele telefoons, ook al zijn er meer varianten van mobile malware dan van mac malware.