Een Trojaans paard dat Mac- en Windows-computers infecteert probeert de locatie van slachtoffers te bepalen door hun WiFi-naam en de signaalsterkte van het netwerk te stelen. 'Crisis', zoals de malware wordt genoemd, werd voor het eerst in juli ontdekt en verspreidt zich via Java-applets. Mogelijk waren journalisten het doelwit van de malware, die ook Skype-gesprekken afluistert. Crisis blijkt echter veel meer te stelen, aldus analyse van Symantec.

Spionage
De virusbestrijder stelt dat de malware geen beveiligingslekken in Java gebruikt om systemen te infecteren, maar als Java-applet inclusief digitale handtekening wordt aangeboden. Zodra de gebruiker het Java-applet accepteert en installeert, wordt de malware actief. Die steelt vervolgens het adresboek, informatie uit de browser, luistert gesprekken via instant messaging programma's af, maakt screenshots en opnames via de webcam en microfoon.

Opmerkelijk is ook dat Crisis het Service set identification (SSID), de netwerknaam, van het WiFi-netwerk steelt, alsmede de Received signal strength indication (RSSI), wat de signaalsterkte aangeeft. De malware noemt deze functie 'position', en wordt mogelijk gebruikt om de locatie van de besmette computer te bepalen, aldus Symantec.

Virtual Machine
Crisis viel eerst ook al op doordat het Virtual Machines en Windows Mobile-toestellen kan infecteren. Met name dat eerste is een probleem. "Het gebruik van VM-technologie groeit elke dag, en de eigenschappen van Crisis hebben dan ook verregaande gevolgen voor de gehele beveiligingsindustrie", aldus Symantec.

Overheid
De grote vraag blijft wie Crisis ontwikkelde. Andere onderzoekers dachten dat een groep Italiaanse programmeurs verantwoordelijk is. Die zouden het programma hebben gebouwd om aan overheidsorganisaties te verkopen. Ook Symantec sluit niet uit dat het hier om staatsspyware gaat, aangezien de voornaamste functie van de malware het bespioneren van slachtoffers is.