Het aantal Mac OS X-gebruikers dat zich via de Flash Player Trojan laat infecteren blijkt groter te zijn dan eerst gedacht. Sinds de waarschuwing voor de malware, die zich voordoet als een installatie van Adobe Flash Player, hebben meer slachtoffers zich gemeld. Het gaat zowel om mensen die de malware hebben gezien als geïnstalleerd. Vanwege het aantal meldingen besloot Mac-beveiligingsbedrijf Intego het risiconiveau van de malware van laag naar medium te verhogen.

De aanpak zou Mac-gebruikers eenvoudig kunnen misleiden. Ten eerste omdat Mac OS X Lion standaard geen Flash Player bevat, dus gebruikers moeten die zelf installeren. En als de software al geïnstalleerd is, zou het om een update kunnen gaan waarvoor het programma waarschuwt.

Backdoor
De malware zelf blijkt vrij geraffineerd in elkaar te zitten. Het Trojaans paard installeert een backdoor in ~/Library/Preferences/Preferences.dylib, die met een remote server op versleutelde wijze communiceert. De backdoor gebruikt het hardware UUID van de Mac als 'user agent'. Om specifieke computers te identificeren verstuurt het ook aanvullende informatie over de geïnfecteerde Mac, zoals Mac OS X versie, of het een Intel of PowerPC is en meer.

De encryptiesleutel gebruikt een MD5 hash van de UUID. "Dit betekent dat de versleuteling voor elke Mac verschillende is, maar laat de backdoor ook eenvoudig de sleutel vinden", zegt Peter James van Intego. De backdoor kan zichzelf ook updaten en creëert een Sha1 hash van zichzelf, om te zien of de malware is aangepast. Als deze hash niet overeenkomt met de softwareversie op de server, is er een update nodig.