De Fruitfly-malware die van 2003 tot 2017 actief was maakte gebruik van zwakke en gelekte wachtwoorden om toegang tot Mac-computers te krijgen, zo blijkt uit een document van de FBI. Eenmaal actief op een systeem kan de Fruitfly-malware toetsaanslagen opslaan, de muiscursor bewegen, toetsaanslagen simuleren, screenshots maken en slachtoffers via hun eigen webcam en microfoon bespioneren.

In bepaalde gevallen waarschuwde Fruitfly de ontwikkelaar als een gebruiker op een besmette computer bepaalde woorden intikte die met porno te maken hadden. Vervolgens gebruikte de ontwikkelaar de malware om naar het slachtoffer te kijken en luisteren, zonder dat die hier weet van hadden. Begin dit jaar werd een 28-jarige computerprogrammeur aangeklaagd voor de ontwikkeling van de malware. Volgens de aanklacht (pdf) bewaarde de man miljoenen afbeeldingen en bewaarde hij uitgebreide notities van wat hij observeerde.

Ook zou de ontwikkelaar de Fruitfly-malware hebben gebruikt om gebruikersnamen en wachtwoorden van zijn slachtoffers te stelen. Deze inloggegevens gebruikte hij vervolgens om op de online accounts van zijn slachtoffers in te loggen en allerlei gegevens te stelen, zoals foto's, e-mails en potentieel gênante communicatie en gegevens. Het was echter onbekend hoe Fruitfly werd verspreid. Eerder dit jaar verspreidde de FBI een document waarin de aanvalsvector wordt omschreven (pdf).

Om toegang tot systemen te krijgen zocht de verdachte naar diensten die op de Mac-computers draaiden en vanaf het internet toegankelijk waren. Het ging onder andere om het Apple Filing Protocol (AFP, poort 548), RDP, VNC of SSH (poort 22) en Back to My Mac (BTMM). Via zwakke wachtwoorden en wachtwoorden afkomstig van datalekken wist de verdachte op deze diensten in te loggen en de malware te installeren. Vorig jaar kwam Apple met een update voor de in macOS ingebouwde virusverwijdertool XProtect om gebruikers tegen de Fruitfly-backdoor te beschermen.