Onderzoekers van Bitdefender Labs zijn een malware-variant voor macOS op het spoor gekomen met een politieke inslag. Het gaat om Xagent, een programma dat een backdoor kan creëren en waarvan de oorsprong toegeschreven wordt aan het Russische hackerscollectief APT28, alias Fancy Bear. De groep wordt ervan verdacht om achter de hacks van de Amerikaanse democratische partij te zitten en men vermoedt dat ze in opdracht van de Russische staat opereren.

Xagent-varianten voor iPhone, Android, Windows en Linux waren al bekend, maar dit is de eerste keer dat men een versie heeft opgespoord die op Macs is gericht. “De analyse onthult de aanwezigheid van modules die het systeem kunnen controleren op hardware en software-configuraties, die een lijst van lopende processen kan stelen en zijn eigen bestanden kan laten draaien, naast het nemen van desktopscreenshots en het ontfutselen van browser-wachtwoorden,” stelt Bitdefender in zijn rapport. “Maar de belangrijkste module, vanuit het perspectief van het verzamelen van intelligentie, is deze die cybercriminelen toelaat om back-ups van een iPhone te stelen die op een gecompromitteerde Mac staan.”

De malware kan de beveiliging van macOS penetreren door gebruik te maken van een trojan genaamd Komplex, die een kwetsbaarheid in MacKeeper exploiteert om in te breken op een systeem. De geavanceerde spionagemalware is af te stoppen door een degelijk antivirusprogramma te draaien.