Die Malware blieb über Jahre unentdeckt und wurde noch für das 2014 veröffentlichte OS X 10.10 angepasst.
Obwohl die Mac-Malware offenbar schon seit langem aktiv ist, wurde diese erst jüngst in zwei Varianten entdeckt. Der Schädling kann die integrierte Webcam aktivieren, Tastatureingaben mitlesen und Screenshots anfertigen.
Der Sicherheitsforscher Patrick Wardle hat eine neue Variante des Mac-Schädlings “Fruitfly” identifiziert, die offenbar bereits seit Jahren unentdeckt auf Macs läuft. Bei der Analyse der Malware stieß Wardle auf mehrere Backup-Domains, zu denen die Software Kontakt aufnimmt. Nach Registrierung einer der Domains verzeichnete der Sicherheitsforscher innerhalb von zwei Tagen knapp 400 infizierte Macs, die Kontakt mit seinem Server aufnahmen, wie Ars Technica berichtet – den IP-Adressen zufolge stehen die betroffenen Macs überwiegend in Wohnhäusern innerhalb der USA.
Fruitfly ist unter anderem in der Lage, Tastatureingaben mitzuschneiden und Screenshots anzufertigen – sowie die Webcam des Macs zu aktivieren. Laut Wardle gibt es derzeit keinen Hinweis auf eine finanzielle Motivation: Die Malware versuche weder, Bankzugangsdaten auszuspionieren noch als Erpressungstrojaner Dateien zu verschlüsseln. Der Sicherheitsforscher spekuliert, dass jemand schlicht ein “perverses Interesse” daran gehabt haben könnte, Nutzer auszuspionieren. Zuvor wurde spekuliert, die Spyware ziele auf biomedizinische Forschungseinrichtungen ab.