La puerta trasera FruitFly fue hallada en enero, pero existe la posibilidad que por años haya estado suelta, pasando desapercibida por analistas y software de seguridad.

El malware para macOS y OS X tiene un número de capacidades de espionaje insidiosas que podrían inquietar a cualquiera, y un análisis reciente hecho por el investigador de seguridad de Synack Patrick Wardle a una variente no fue la excepción.

Wardle construyó un servidor de Comando y Control para examinar la muestra de FruitFly que era capaz de ejecutar comandos shell para obtener capturas de pantalla, manipular movimientos del ratón, eliminar procesos e incluso activar una alerta para el atacante cuando el usuario está usando su Mac.

Wardle profundizó en su análisis de FruitFly y el servidor CyC personalizado que usó, durante una plática en Black Hat. También ha dicho que liberará un conjunto de herramientas usadas en su análisis, incluyendo un monitor de procesos en modo usuario.

"FruitFly fue diseñado para que fuera interactivo", dijo Wardle, ex analista de la Agencia de Seguridad Nacional de EE.UU. y fundador de Objective-See, quien ha publicado una serie de herramientas de análisis de malware gratuitas para Mac. "Este malware puede mover el ratón, generar pulsaciones de teclado e interactuar con los elementos de la interfaz gráfica del sistema operativo". 

Las víctimas, mientras tanto, son una anomalía en el sentido de que son "usuarios regulares", como lo describe Wardle, quien durante su análisis pudo registrar una serie de servidores de comandos de respaldo incluidos en el código y obtener valiosa información de la víctima que él compartió con las autoridades, junto con los servidores CyC que descubrió.

A diferencia de otras muestras de spyware (incluyendo la muestra de FruitFly descubierta anteriormente por Malwarebytes), esta variante tenía dentro de sus objetivos investigadores, organizaciones de alto perfil o contratistas de defensa. De hecho, la mayoría de las víctimas están en los Estados Unidos, incluso una notable concentración de ellos está en Ohio.

"Los nombres de computadora parecen pertenecer a personas normales, gente común. Esto significa que alguien está usando este malware para vigilar a las personas", dijo Wardle.

Thomas Reed de Malwarebytes dijo en enero que la muestra que había analizado había estado libre desde hace tiempo y tenía como objetivo centros de investigación médica.

Wardle, por otra parte, usó un acercamiento un poco ortodoxo al estudiar la muestra de FruitFly, a la que tuvo acceso cuando construyó su propio servidor de Comando y Control. Esto simplificó el análisis, dijo él, dado que poseía la muestra. En lugar de tener que desempacar y aplicarle ingeniería inversa al malware, simplemente lo dejó libre en un entorno de prueba, en una máquina virtual repleta de herramientas de monitoreo. Ese servidor estaba conectado a una máquina de desarrollo en la red de prueba dónde Wardle puso a funcionar al malware para que se ejecutara y pudiera observar lo que sucedía.

"No es una técnica revolucionaria; estoy seguro de que es algo que otros han hecho", dijo Wardle. "Para ser capaz de analizarlo, debes entender el protocolo del malware. Éste es sencillo y fácil de analizar, sin cifrado personalizado".

El malware también contenía un grupo de conexiones crifradas a los servidores de respaldo de Comando y Control que estaban disponibles en caso de que los CyC primarios estuvieran fuera de línea.