Найден первый вредоносный код, рекомпилированный для Apple M1

Новые системы Apple M1 имеют множество преимуществ, а скомпилированный нативный код arm64 работает на них невероятно быстро. Исследователь безопасности Mac Патрик Уордл (Patrick Wardle) наглядно продемонстрировал в своём отчете, что ряды разработчиков, спешащих обеспечить своему коду бинарную совместимость с новейшим оборудованием Apple, пополнили также авторы вредоносных программ.

Первое вредоносное ПО для M1, «GoSearch22», обнаруженное в коллекции VirusTotal, маскируется под законное расширение браузера Safari и изначально создавалось для работы на чипах Intel x86. GoSearch22.app является частью «Pirrit», одного из старейших и наиболее активных семейств рекламного ПО для Mac, которое постоянно меняется, чтобы избежать обнаружения.

Хотя код x86_64 и arm64 выглядит логически идентичным и теоретически должен обнаруживаться одинаковой хорошо, в среднем, версия arm64 детектируется на 15% хуже (по сравнению с автономным вариантом x86_64). Несколько ведущих антивирусных движков, легко обнаруживших версию x86_64, не смогли пометить вредоносный файл arm64.

Рекламное ПО собирает пользовательские данные и вызывает большое количество рекламы, включая баннеры и всплывающие окна, которые ссылаются на веб-сайты, заполненные другими вредоносными программами. Примечательно, что GoSearch22 был заверен подписью Apple Developer ID в ноябре 2020 года. С тех пор сертификат был отозван, но присутствие GoSearch22 в базе VirusTotal означает, что пользователи macOS уже заражены.

GoSearch22 это первый, но, наверняка, не последний вредоносный код для M1: исследователи из фирмы кибербезопасности Red Canary предполагают, что в настоящее время уже исследуются и другие подобные программы.