Apple heeft een update voor de in macOS ingebouwde virusverwijdertool XProtect uitgebracht die systemen tegen de spionagesoftware Snake moet beschermen, die vorig jaar mei werd ontdekt. De malware, die ook bekendstaat als Uroburos, Turla en Agent.BTZ, is ontwikkeld om vertrouwelijke documenten te stelen en netwerkverkeer te onderscheppen.

Ook beschikt de malware over een rootkit-onderdeel, waardoor die lastig te detecteren is. Oorspronkelijk werd Snake voor het Windows-platform ontwikkeld. In 2014 werd er al een Linux-versie van Snake gevonden, die mogelijk eerst voor Solaris was ontwikkeld. De vorig jaar mei ontdekte Mac-versie is niet in het "wild" aangetroffen. Onderzoekers van securitybedrijf Fox-IT vonden het exemplaar via VirusTotal, de online virusscanner van Google waarmee gebruikers verdachte bestanden door een groot aantal virusscanners kunnen laten testen.

Het bleek om een versie te gaan waar de debugfunctionaliteit nog stond ingeschakeld. Dit wordt meestal voor testdoeleinden gedaan. De Mac-versie was op 2 mei 2017 naar VirusTotal geupload en begin dat jaar met een geldig ontwikkelaarscertificaat van Apple gesigneerd. De Snake-malware zat in een zip-bestand genaamd Adobe Flash Player.app.zip. Het bleek om een gebackdoorde versie van de Adobe Flash Player-installer te gaan. Bij het openen van de app zou er een backdoor worden geïnstalleerd. Apple was al gevraagd om het certificaat in te trekken. Nu heeft het bedrijf ook een update voor XProtect uitgebracht, zo meldt securitybedrijf Intego. Waarom Apple dit nu pas heeft gedaan en of Snake sinds de ontdekking ook echt is ingezet, is onbekend.