Konferencja Oslo Freedom Forum jest dedykowana aktywistom, którzy walczą z systemem o prawa do budowania otwartego i wolnego społeczeństwa. W ramach konferencji, na warsztacie prowadzonym przez Jacoba Appelbauma (wielokrotnie nękanego przez różne służby) znaleźli się aktywiści z wielu krajów, którzy chcieli się dowiedzieć jak wykryć i walczyć z inwigilacją. Pech chciał, że jeden z uczestników — mieszkaniec Republiki Angoli — bardzo szybko zorientował się, że dla niego jest już za późno na działania prewencyjne… na jego Macintoshu znajdowała się bowiem podejrzana aplikacja-backdoor:

 

 

Co ciekawe, aplikacja była podpisana poprawnym Apple Developer ID (zapewne po to, aby utrudnić zablokowanie aplikacji przez mechanizmy bezpieczeństwa, a dokładnieGatekeepera, wprowadzone do Mac OS X przez od wersji Mountain Lion):

 

 

Nie oznacza to co prawda, że winny jest Pan Kumar (ktoś mógł wykraść jego klucze).

 

 

Po króteiej analizie, okazało się, że trojan przywędrował poprze e-mail, siedzi w katalogu domowym użytkownika (podkatalog o nazwie: MacApp), do którego to zapisuje zrzuty ekranu, które następnie przesyła do jednego z serwerów C&C (hostowanych w Amsterdamie i we Francji).

Klucze developera użyte do podpisu trojana zostały już unieważnione przez Apple. Podobny los spotkał domeny — zostały zsinkholowane; zapewne niebawem dowiemy się, ile osób jest zainfekowanych tą odmianą trojana. Appelbaum na razie nie chce publikować e-maili, od których wszystko się zaczęło, twierdząc, że może to narazić aktywistę na śmiertelne zagrożenie.

 

 

Na chwilę obecną, 15/47 antywirusów wykrywa tego trojana. Eksperci z F-Secure uważają, że jest to zmodyfikowana wersja starego trojana na Mac OS X, zwanego HackBack

Wszystkim posiadaczom komputerów z systemem Mac OS X, nawet jeśli nie są afrykańskimi aktywistami, radzimy zajrzeć do ustawień konta na zakładkę “Login items” i zweryfikować, co automatycznie startuje wraz z systemem.