Malware in twee bekende Mac-apps

14 reacties

Twee bekende Mac-apps waren korte tijd geïnfecteerd met een trojan. Het gaat om Elmedia Player and Folx van ontwikkelaar Eltima. De server van de ontwikkelaar werd vorige week gehackt, waardoor de installatie­bestanden korte tijd besmet waren.

Elmedia Player is met een miljoen gebruikers een van de meest populaire mediaspelers op de Mac. Folx is een download manager die minder vaak gebruikt wordt. Ze waren besmet met de Mac-trojan OSX/Proton.

Check je Mac

Deze trojan probeert onder andere inloggegevens uit je browser en 1Password te stelen. Als je een van de apps recent gedownload hebt, is het raadzaam je Mac te checken op aanwezigheid van de malware. Doe dit door Finder te openen en volgens in het menu Ga te kiezen voor Ga naar map. Plak in het venster onderstaande paden één voor één. Als de mappen op je systeem aanwezig zijn, ben je geïnfecteerd.

/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/

Volgens onderzoekers van ESET is een herinstallatie van macOS enige manier om zeker te zijn van een schoon systeem. Apple beschrijft in dit supportdocument hoe je dat precies aanpakt. Het is wel even werk, maar de enige garantie op een systeem dat vrij is van kwaadaardige software. Volgens ontwikkelaar Eltima zijn de apps inmiddels weer veilig.

Klik/tap voor groter.

Steeds vaker voorkomend probleem

Helaas is malware in installatiebestanden een steeds vaker voorkomend probleem. Eerder dit jaar werden de populaire apps Transmission en Handbrake al op soortgelijke wijze geïnfecteerd. Het advies om software alleen uit de Mac App Store of de website van de ontwikkelaar te downloaden blijft gelden.

Toenemende berichten over gehackte downloadservers maken het echter steeds moeilijker om zeker te zijn van een schone download. Om te verifiëren dat je tijdens het download ook echt binnenhaalt wat de ontwikkelaar publiceerde, kun je vaak een zogenaamde checksum gebruiken. Dit is een vingerafdruk van het bestand die de ontwikkelaar dient te publiceren. Als de vingerafdruk die op de site van de ontwikkelaar staat overeenkomt met die van je download, heb je een onaangetaste versie.

Helaas bieden niet alle applicaties deze checksum aan, maar HandBrake wel. Na het downloaden van het bestand kun je de checksum met een terminal-commando controleren. Ontwikkelaars publiceren vaak de SHA1 of MD5 checksum van een bestand. Die controller je door de terminal te openen en vervolgens ‘shasum’ (of ‘md5’) in te tikken en daarna het bestand naar de terminal te slepen. Nadat je op enter hebt gedrukt, moet de checksum overeenkomen met die op de website van de ontwikkelaar.

Klik/tap voor groter.

Reacties

14 reacties
  • Profielfoto
    Beakerflo

    Volgens mij als je een;
    /tmp/Updater.app/
    hebt ben je niet persé geïnfecteerd. Dan is er recent een app ge-update.

    groet,
    Floris

  • Profielfoto
    floris4970

    Kan iemand mij uitleggen wat dit programma beter doet dan VLC?? (Ik heb er echt nog nooit van gehoord, al die troep apps waar niemand op aan het wachten is)

  • Profielfoto
    Raymon

    Volgens mij als je een;
    /tmp/Updater.app/
    hebt ben je niet persé geïnfecteerd. Dan is er recent een app ge-update.

    groet,
    Floris

    Dat is precies wat de malware je wil laten denken, maar geen enkele normale app maakt een updater.app in je /tmp/ map aan.

    Kan iemand mij uitleggen wat dit programma beter doet dan VLC?? (Ik heb er echt nog nooit van gehoord, al die troep apps waar niemand op aan het wachten is)

    Heb deze app zelf nooit gebruikt, maar volgens de ontwikkelaar zijn er een miljoen actieve gebruikers dus het is geen kleintje. Na dit bericht zou ik echter gewoon bij VLC blijven. Dit heeft immers geen problemen met malware gehad.

  • Profielfoto
    csteelooper

    (…) Na dit bericht zou ik echter gewoon bij VLC blijven. Dit heeft immers geen problemen met malware gehad.

    Da’s geen geldig antwoord op (de)(/zijn) vraag. Bovendien: Wat niet is kan nog komen. VLC heeft inderdaad nóg geen problemen gehad, maar dat wil niet zeggen dat VideoLAN altijd vrij zal blijven van hackers op zijn servers. Lekker adviesje weer…:confused:

    En dat terwijl je ook schrijft:

    (…) Volgens ontwikkelaar Eltima zijn de apps inmiddels weer veilig.

    Met alle respect, maar dit antwoord heeft écht een heel hoog newbie-gehalte. In plaats van zo’n antwoord te geven als dit, zou je beter de app kunnen testen, of in ieder geval de door de developer genoemde speerpunten kunnen opnoemen…

  • Profielfoto
    Mac-Eddy

    Je kunt ermee streamen naar je AppleTv of gewoon als player op je Mac.
    Bij mij staat ie erop, maar ben niet geïnfecteerd.

  • Profielfoto
    Q4

    Het eerste path (/tmp/Updater.app/), geeft bij mij 3 hits in die map, nl:

    – com.apple.launchd.hxXJ3NZF0M (dit is een map die helemaal leeg is)
    – com.apple.launchd.Xd9tItgphb (dit is een map die helemaal leeg is)
    – oobelib.log (als ik dit voorvertoon lijkt het een installerlog van Adobe CS6)

    Is dit een probleem? Ik twijfel of er in die map inderdaad niets mag staan. Ik heb geen van beide genoemde programma’s (Elmedia Player and Folx) geïnstalleerd of op mijn Mac staan.

  • Profielfoto
    m4v3r1ck

    Installeer gewoon ESET Cyber Security Pro voor macOS! ?

    Cheers

  • Profielfoto
    RoyHochstenbach

    Als de vingerafdruk die op de site van de ontwikkelaar staat overeenkomt met die van je download, heb je een onaangetaste versie.

    Houd er wel rekening mee dat als iemand in staat is om bestanden op een server aan te passen, die ook de vingerafdrukken (checksums) op een website kan aanpassen. Vaak staan de downloads en webpagina’s op dezelfde server, tenzij download mirrors of alternatieve download sites worden gebruikt. Die methode is dus niet waterdicht, maar je kan wel de alarmbellen laten rinkelen als het niet overeenkomt.

  • Profielfoto
    DBLCreations

    (…) Na dit bericht zou ik echter gewoon bij VLC blijven. Dit heeft immers geen problemen met malware gehad.

    Da’s geen geldig antwoord op (de)(/zijn) vraag. Bovendien: Wat niet is kan nog komen. VLC heeft inderdaad nóg geen problemen gehad, maar dat wil niet zeggen dat VideoLAN altijd vrij zal blijven van hackers op zijn servers. Lekker adviesje weer…:confused:

    En dat terwijl je ook schrijft:

    (…) Volgens ontwikkelaar Eltima zijn de apps inmiddels weer veilig.

    Met alle respect, maar dit antwoord heeft écht een heel hoog newbie-gehalte. In plaats van zo’n antwoord te geven als dit, zou je beter de app kunnen testen, of in ieder geval de door de developer genoemde speerpunten kunnen opnoemen…

    En ik vraag me af van welk gehalte jij bent, jij slaagt gewoon een hele zin over die Raymond zei:

    Heb deze app zelf nooit gebruikt, maar volgens de ontwikkelaar zijn er een miljoen actieve gebruikers dus het is geen kleintje”

    Raymond geeft gewoon het advies aan om bij VLC te blijven, dat is eigenlijk wat ik ook wilde antwoorden. Ik gebruik VLC ook naar volle tevredenheid. En nee inderdaad, wat niet is kan nog komen. Zo kan ook elk ander programma op je Mac ooit wel eens geïnfecteerd geraken, dus afkomen met “Wat niet is kan nog komen” getuigd ook niet van teveel “hoog gehalte”. Zeg liever eens iets wat mijn kleine teen nog niet weet.

  • Profielfoto
    TheDoctor40

    Nou wat zijn de comments weer gezellig zeg. Kunnen we het aub gewoon gezellig on topic houden ipv elkaar persoonlijk aan te vallen

  • Profielfoto
    DBLCreations

    Nou wat zijn de comments weer gezellig zeg. Kunnen we het aub gewoon gezellig on topic houden ipv elkaar persoonlijk aan te vallen

    Vrolijke vrolijke vrieeeeeeeeeenden, vrolijke vrienden, daaat zijn wij:-D

  • Profielfoto
    Oldekamp

    Ik was ook altijd fan van VLC, maar deze kan nog niet overweg met HEVC videobestanden en maakt geen gebruik van de hardware-acceleratie van de nieuwe Macs. IINA doet dit wel.;-)

  • Profielfoto
    DBLCreations

    Ik was ook altijd fan van VLC, maar deze kan nog niet overweg met HEVC videobestanden en maakt geen gebruik van de hardware-acceleratie van de nieuwe Macs. IINA doet dit wel.;-)

    Ah, dat wist ik niet! Ik zal mij daar eens in moeten verdiepen dan. Maar ik heb een Mac pro 2013 met OS Sierra en HEVC is pas vanaf High Sierra dacht ik?

  • Profielfoto
    diendea

    bij mij ook geeft die twee lege mappen aan bij /tmp/Updater.app/

    com.apple.launchd.AUBc8WN5Cl
    com.apple.launchd.VMmD4mdBnt

    die andere geeft die enkel de map bibliotheek aan,

    Wat te doen? Niets dan?