Macユーザーが認識不能なほど瞬時にKeychainへのアクセス許可を与える極悪アドウェアが発見される

Mac OSのパスワード管理システム「Keychain」には、ソフトウェアのインストール前にKeychainリストへのアクセス許可を与えて良いかどうかをポップアップ表示してユーザーに確認する機能があります。しかし、このポップアップに対してアクセス許可を無断でかつユーザーが認識できないほど爆速で行うマルウェアが発見されました。

Genieo installer tricks keychain | Malwarebytes Unpacked
https://blog.malwarebytes.org/mac/2015/08/genieo-installer-tricks-keychain/

Macユーザーに無断でSafariのスタートページを変更したり、デフォルトの検索エンジンを変更したり、ターゲット広告を表示したり、フォーム情報を外部に送信したりするとして悪名高い拡張機能「Genieo」があります。このマルウェアGenieoはソフトウェアインストールパッケージにひっそりと仕込まれていることが多く、ユーザーは別のソフトウェアをインストールする際に、いつの間にかGenieoをインストールしてしまうという例が多く報告されています。

そのGenieoが進化して、ユーザーに無断でKeychainへのアクセス許可を与える機能を獲得したことがセキュリティ対策会社Malwarebytesによって報告されています。Malwarebytesによると、新型のGenieoは、ソフトウェアのインストール時に、Keychainへのアクセス許可を与えるプロンプトを表示させ、目にもとまらない速さで「Allow(許可)」をクリックし、何が起こったのかユーザーが分からないうちにKeychainのアクセス許可を与えるとのこと。

実際にDownload Shuttleというソフトウェアのインストーラーパッケージに仕込まれたGenieoがKeychainへのアクセス許可を爆速で獲得する様子は以下の3秒のムービーで確認できます。

DownloadShuttle installer - YouTube

Download Shuttleのインストール作業中に……

突然ポップアップ表示されたKeychainへのアクセス許可を与えて良いかを確認するプロンプト。

ポップアップ表示と同時にマウスカーソルが「Allow」に移動してクリック。

何が起こったのか分からないうちに、Keychainへのアクセス許可が与えられてしまいました。

Malwarebytesの分析によって、このインストーラーには許可ボタンを無断でクリックするコードが含まれているのが確認されています。

なお、Malwarebytesによると、すでに長年にわたってユーザーのSafariに無断で拡張機能をインストールすることに成功してきたGenieoにとって、今回発見されたKeychainのアクセス許可を獲得する機能は、一見不必要なハッキング機能であるように思われるとのこと。しかし、次期OS「OS X 10.11 El Capitan」でSafariの拡張機能の取り扱いが変更されることを見越して、その変更を回避するためのバージョンアップではないかとMalwarebytesは考えています。

さらに、Genieoの持つKeychainのアクセス許可を獲得する機能をほんの少し改造することで、iCloudのパスワードなどの情報をKeychainから盗み出すことも可能だろうとMalwarebytesは述べています。