Aparentemente, el software malicioso toma control de las cámaras web, los teclados y otros recursos sensibles, pero se desconoce cómo llega a las computadoras o cuál es el propósito final.
Patrick Wardle, director de investigación de la firma de ciberseguridad Synack, fue quien detectó la variante de un malware que fue reportado en enero de este año. Se cree que la infección ha estado rampante por años.
Según el portal arsTechnica, la versión descubierta por Wardle ha infectado al menos 400 computadoras sin ser detectada tanto por los macOS de Apple como por los productos antivirus comerciales. Después de analizar esta variante, el experto en ciber seguridad fue capaz de descifrar varios dominios de respaldo que habían sido incluidos en el código del malware. Para su sorpresa, los dominios estaban disponibles. Dos días después de registrar una de las direcciones, cerca de 400 Macs infectadas se conectaron al servidor, la mayoría de hogares ubicados en Estados Unidos.
Wardle dijo que no encontró pruebas de que el malware pueda ser utilizado para instalar ransomware o recopilar credenciales bancarias. Eso elimina en gran medida la posibilidad de que los creadores de Fruitfly estuvieran motivados financieramente. Al mismo tiempo, la concentración de víctimas sin lazos obvios a entidades públicas o empresariales descarta en gran medida las posibilidades de que el malware sea diseñado por hackers patrocinados por algún gobierno para espiar objetivos.
«No sé si es sólo una persona aburrida o alguien con metas perversas», le dijo Wardle a arsTechnica. «Si un adolescente aburrido me está espiando, eso sigue siendo muy emocionalmente traumático, si está encendiendo la webcam, eso es por razones perversas».
La firma de seguridad Malwarebytes descubrió la versión previa de Fruitfly a principios de este año. «Es diferente a todo lo que he visto hasta ahora y parece haber estado dando vueltas sin ser detectada desde hace algún tiempo. También parece estar dirigida a centros de investigación biomédica», escribió en una entrada de blog en enero Thomas Reed, de Malwarebytes.
En el caso de la versión detectada más recientemente, no está claro cuánto tiempo ha estado infectando computadoras, pero investigadores encontraron que el código fue modificado para trabajar en el sistema operativo Mac Yosemite, que fue lanzado en octubre de 2014. Esto sugiere que el malware fue creado antes de eso.
