Jakarta – Threat baru yang menyerang sistem operasi Mac kembali muncul. Threat yang berbentuk Trojan tersebut berhasil terdeteksi sebagai OSX/Revir.A dan OSX/Imuler.A.
Firma antivirus ESET menemukan bahwa Trojan baru tersebut cukup menarik karena tampil dalam bentuk file PDF dan menyasar komputer Macintosh berbahasa Mandarin. File PDF pada Trojan ini memanfaatkan situasi politik antara China dan Jepang dengan memuat tulisan bernuansa politis terkait dengan sengketa kepemilikan Kepulauan Diayou di antara keduanya.
Modus dari Trojan Mac sendiri adalah ketika pengguna membuka file PDF tersebut, Trojan akan menyembunyikan proses instalasi konten dengan cara menampilkan dokumen PDF tentang sengketa wilayah tersebut. Nah, pengguna yang penasaran tanpa sadar tersedot perhatiannya, padahal saat itu proses instalasi sedang berlangsung.
“Trojan yang menampilkan diri sebagai PDF merupakan modus yang umum yang biasa menyerang sistem operasi Windows, biasanya akan terlihat sebagai .pdf.exe dengan file extension ganda akan membuatnya menjadi semakin lihai bersembunyi,” jelas Yudhi Kukuh, Technical Consultant ESET Indonesia.
Bagi komputer berplatform Mac, lanjutnya, malware seperti itu terbilang masih baru. Oleh sebab itu, Yudhi menyarankan agar para pengguna Mac selalu waspada dengan kehadiran file berwujud PDF. “Karena muatannya akan berbeda dengan PDF pada umumnya,” terang Kukuh dalam keterangannya, Senin (3/10/2011).
Belum selesai dengan Trojan OSX/Revir.A dan OSX/Imuler.A yang menyerang platform Mac berbahasa Mandarin, muncul threat lain yang menyasar pada sistem operasi komputer Apple Mac OS X Lion (10.7). Threat ini teridentifikasi sebagai OSX/Flashback.A tergolong kategori Trojan. Adapun modusnya, Trojan terinstall di dalam komputer berplatform Mac melalui installer Adobe Flash palsu yang terunduh dari situs pihak ketiga atau situs yang mendistribusikan konten aplikasi Mac.
Jika dibandingkan dengan malware yang telah teridentifikasi sebelumnya yaitu MacDefender dan Revir, malware Flashback akan menyerang pengguna yang sering menggunakan situs jejaring sosial untuk menarik pengguna tersebut agar mengunduh dan akhirnya malware akan terinstall.
Malware Flashback awalnya bercokol di situs yang mengajak pengguna untuk menginstal Flash dengan dalih untuk menyaksikan konten tertentu. Tetapi kemudian pengguna harus ‘memilih’ untuk menginstall software “Flash Player”, lantas dilanjutkan ke proses instalasi biasa hingga malware siap untuk bekerja.
Pada proses instalasinya, malware akan memunculkan tampilan instaler standar di layar komputer untuk menciptakan backdoor melalui dynamic loader library (dyld) yang dikenal sebagai Preferences.dylib.
Sekali diinstall, malware yang menggunakan enkripsi RC4 untuk berkomunikasi ke remote server akan mengirimkan data pengguna seperti alamat Mac, versi yang digunakan, UUID, dan lainnya. Malware OSX/Flashback.A juga berpotensial digunakan sebagai carrier oleh pengembang malware untuk membantu menginjeksi kode berbahaya ke Mac yang menjadi sasaran.