Raymon Mens
Raymon Mens Nieuws 23 oktober 2017

Malware in twee bekende Mac-apps

Twee bekende Mac-apps waren korte tijd geïnfecteerd met een trojan. Het gaat om Elmedia Player and Folx van ontwikkelaar Eltima. De server van de ontwikkelaar werd vorige week gehackt, waardoor de installatie­bestanden korte tijd besmet waren.

Elmedia Player is met een miljoen gebruikers een van de meest populaire mediaspelers op de Mac. Folx is een download manager die minder vaak gebruikt wordt. Ze waren besmet met de Mac-trojan OSX/Proton.

Check je Mac

Deze trojan probeert onder andere inloggegevens uit je browser en 1Password te stelen. Als je een van de apps recent gedownload hebt, is het raadzaam je Mac te checken op aanwezigheid van de malware. Doe dit door Finder te openen en volgens in het menu Ga te kiezen voor Ga naar map. Plak in het venster onderstaande paden één voor één. Als de mappen op je systeem aanwezig zijn, ben je geïnfecteerd.

/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/

Volgens onderzoekers van ESET is een herinstallatie van macOS enige manier om zeker te zijn van een schoon systeem. Apple beschrijft in dit supportdocument hoe je dat precies aanpakt. Het is wel even werk, maar de enige garantie op een systeem dat vrij is van kwaadaardige software. Volgens ontwikkelaar Eltima zijn de apps inmiddels weer veilig.

Klik/tap voor groter.

Steeds vaker voorkomend probleem

Helaas is malware in installatiebestanden een steeds vaker voorkomend probleem. Eerder dit jaar werden de populaire apps Transmission en Handbrake al op soortgelijke wijze geïnfecteerd. Het advies om software alleen uit de Mac App Store of de website van de ontwikkelaar te downloaden blijft gelden.

Toenemende berichten over gehackte downloadservers maken het echter steeds moeilijker om zeker te zijn van een schone download. Om te verifiëren dat je tijdens het download ook echt binnenhaalt wat de ontwikkelaar publiceerde, kun je vaak een zogenaamde checksum gebruiken. Dit is een vingerafdruk van het bestand die de ontwikkelaar dient te publiceren. Als de vingerafdruk die op de site van de ontwikkelaar staat overeenkomt met die van je download, heb je een onaangetaste versie.

Helaas bieden niet alle applicaties deze checksum aan, maar HandBrake wel. Na het downloaden van het bestand kun je de checksum met een terminal-commando controleren. Ontwikkelaars publiceren vaak de SHA1 of MD5 checksum van een bestand. Die controller je door de terminal te openen en vervolgens ‘shasum’ (of ‘md5’) in te tikken en daarna het bestand naar de terminal te slepen. Nadat je op enter hebt gedrukt, moet de checksum overeenkomen met die op de website van de ontwikkelaar.

Klik/tap voor groter.

Foutje gezien? Mail ons. Wij zijn je dankbaar.

Reageer op artikel:
Malware in twee bekende Mac-apps
Sluiten