Populaire Mac-app Elmedia Player geïnfecteerd met Malware, check je Mac!
Het komt niet vaak voor, maar afgelopen weekend zijn twee populaire Mac-apps voor een korte tijd besmet geraakt met Malware en dat kan nadelig zijn voor de eindgebruiker. Het gaat om de installatiebestanden van Elmedia Player en Folx, twee apps van Eltima.
Elmedia Player is één van de meest gedownloade mediaspelers voor de Mac en heeft een miljoen gebruikers. Gelukkig is niet iedereen die de app gebruikt getroffen door de malware. Omdat de installatiebestanden geïnfecteerd waren, gaat het alleen om de gebruikers die op 19 oktober Elmedia Player of Folx hebben geïnstalleerd of geupdate vanaf de website van de ontwikkelaar.
Welke malware werd er gebruikt?
Beide applicaties waren besmet met de Mac-trojan OSX/Proton malware. Deze trojan probeert onder andere inloggegevens en wachtwoorden uit je browser, sleutelhanger en bijvoorbeeld ook wachtwoord apps zoals 1Password te stelen. Dit kan uiteindelijk leiden tot een gehackt account of het blokkeren van je Mac (meer info). Het is daarom aan te raden je Mac te controleren als je één van deze twee apps gebruikt.
Controleer je Mac op Malware
Deze malware dien je handmatig te controleren om er achter te komen of je Mac geïnfecteerd is. Open Finder, klik in de menubalk op 'Ga' en daarna op 'Ga naar map'. Kopieer onderstaande paden één voor één en plak deze in het ga-naar-venster en klik op 'Ga'. Als één van de mappen wordt gevonden is je Mac besmet en moet je stappen ondernemen.
/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/
Als je Mac is geïnfecteerd moet je deze helaas opnieuw installeren en geen reservekopie terug te zetten. Het is een drastische oplossing, maar wel de enige volgens de gerenommeerd onderzoekers van ESET, die de malware hebben ontdekt. Hoe je jouw Mac volledig kunt herstellen lees je hier uitgebreid terug.
Dit soort Malware komt helaas vaker voor, Apple probeert een hoop tegen te houden met behulp van GateKeeper en XProtect (meer info) en dat is meestal voldoende. Daarnaast kun je ook een virusscanner installeren op de Mac, of dit echt nodig is en wat de voordelen zijn hebben we hier uitgebreid uitgelegd.
Bron: MacRumors
| Auteur | Wesley Fabry | |
| Datum | 24/10/2017 11:05 | |
| Categorie | Nieuws | |
Reacties
Voor wat het waard is, en om het e.e.a. af te ronden, bij deze het antwoord dat ik zojuist van Eltima heb ontvangen, naar aanleiding van de vraag om nader uitleg, genoemd in mijn vorige reactie: ‘The 6.8 version of Elmedia Player was infected and though it isn’t anymore, the anti malware software will indicate it as an infected one since the version of the app did not change.
Now it is absolutely safe to download Elmedia Player or any other software from our website.’
Als dit klopt, was mijn inschatting dus juist. De app die ik oorspronkelijk had gescand, was schoon maar oogde besmet. Slordig maar niet gevaarlijk.
@ Maarten. Ik heb inmiddels antwoord van Eltima ontvangen. Daarin schrijven zij o.m.: ‘…It seems that the anti malware software finds not the trojan itself, but the player’s version that remained the same…’
Die zin snap ik niet echt en heb ze om nader uitleg gevraagd. Maar, het lijkt er op dat ze bedoelen dat ClamXav reageerde, niet op de feitelijke Trojan, maar op een kenmerk die daar op lijkt aanwezig in de (anders schone) player app. Dat zou ook jouw observatie, dat Bitdefender alarm sloeg op de app, zonder dat de diverse gemelde mappen werden aangetroffen, kunnen verklaren.
Ze melden dat dat probleem inmiddels ook is opgelost. Op hun verzoek heb ik dan ook de player opnieuw gedownload en gescand. Deze keer kreeg ik geen alarm van ClamXav.
Maar… ik wacht verder nog even af, met updaten.
Eltima heeft inmiddels ook contact met mij genomen, met de vraag: ‘Could you kindly specify when did you download Elmedia Player software from our website so that we could understand if it was a safe download.’
Zij vroegen dus wanneer ik had gedownload, om te beoordelen of het toen veilig was. Niet dus! Ik heb ze gemeld 24-10-2017 (±) 17:50, direct gevolg door een scan met ClamXav (17:55), die direct alarm sloeg. Ik heb ze ook de details daarvan gegeven, en wacht verder af, of ze nog reageren. Kennelijk hebben ze hun zaakjes nog niet op orde. Het sukkelt maar voort. Dat zal hun business geen goed doen.
DE GERUSTSTELLENDE INFO VAN ELTIMA LIJKT ONJUIST! Heb zojuist de proef op de som genomen nadat ik bovenstaande e-mail van Eltima ontving en op hun blog las dat ze nu echt niet meer besmet zijn. Heb de .dmg van Elmedia Player opgehaald en gescand met Bitdefender, en die vond het trojan opnieuw in de .dmg. Verwijderd dus. En ik neem afscheid van Eltima.
Reactie van Eltima:
We should inform you that there is no need to worry about this issue since we eliminated the threat in hours after we received a notification from ESET company. Please, follow the link below for a detailed information on this question:
https://www.eltima.com/blog/2017/10/elmedia-player-and-folx-malware-threat-neutralized.html
Thank you for contacting Eltima Customer Support.
Inderdaad een scan kan nooit kwaad, zeker als je deze app gebruikt of Transmission voor torrents of handbrake die ooit ook al eens getroffen zijn door soortgelijke Malware.
Toch even een goedbedoeld advies voor gebruikers van Elmedia Player en Folx: ook als je de in dit artikel genoemde mappen niet op je computer vindt, kan de trojan (vooralsnog inactief) op je computer staan. Het is dus zeer aan te raden deze sowieso met een goede virusscanner te scannen.
Heb zekerheidshalve toch clean install uitgevoerd. Heb ook nog niets gehoord van Eltima Software. Bijzonder, en ondertussen is iedereen die dit bericht niet heeft gelezen maar gezellig aan het updaten.
@Maarten Vooropgesteld, ik ben hier geen expert in. Als je bijvoorbeeld alleen de besmette app hebt geïnstalleerd maar niet gestart, veronderstel ik dat de Trojan zijn schadelijke werk nog niet kunnen doen. In dat geval hoeft een antivirus programma zoals Bitdefender alleen maar de besmette app te verwijderen. Als dat het geval is bij jou, heb je geluk gehad.
Als je nog over een oudere versie beschikt kan je daar op terugvallen. Anders is het wachten tot Eltima Software een schone versie op hun site ter download zetten, of anders bij de Apple AppStore kopen.
Overigens, ik heb nog geen reactie van Eltima Software m.b.t. mijn melding ontvangen. Ben benieuwd.
Hoewel ik snap dat een clean install altijd de beste keus is, vraag ik mij wel af waarom dit als enige optie wordt genoemd in geval van besmetting. Bitdefender heeft ‘m namelijk verwijderd en geeft aan dat verdere actuele niet nodig is.
@Maarten Dat zou kunnen. Echter, ik heb de besmette versie 6.8 alleen gedownload, en dan (nog in de DMG-volume) met ClamXav gecontroleerd. Volgens de scan-log zat er de genoemde Trojan in (daar waar normaal de Player staat, in het programma-pakket). Deze versie heb ik dus NIET geïnstalleerd (laat staan uitgevoerd), maar weggegooid.
Ter controle heb ik ook de WEL op mijn Mac geïnstalleerde (oudere/2016) versie 6.6 gescand. Dat leverde geen besmetting op, maar gewoon de player, zoals wel verwacht :- ) Bedankt voor de reactie.
Ook als je de genoemde mappen NIET vindt, kun je besmet zijn. Ik vond die mappen namelijk niet, maar mijn virusscanner vond de Trojan op een andere locatie, namelijk gewoon in /Applications/Elmedia Player.app/Contents/MacOS/Elmedia Player. Wellicht dat je de op de site genoemde mappen pas ziet als de Trojan actief is geweest, maar de Trojan zit dan dus wel al op je Mac.
Overigens, I heb Eltima Software zojuist hiervan melding gemaakt. Hopelijk nemen ze snel actie.
Wees gewaarschuwd! Hoewel dit probleem al een poosje bekend is, is versie 6.8, die nu van de Eltima Software site kan worden gedownload, volgens ClamXav NOG STEEDS besmet.
Om dit te testen, heb ik dus zojuist versie 6.8 van de site gedownload en de app in het DMG archief met ClamXav gecontroleerd. En dit is was ClamXav meld:
/Volumes/Elmedia Player/Elmedia Player.app Osx.Trojan.Proton-6352635-0
Uiteraard heb ik deze versie dus NIET (over mijn huidige versie 6.6 heen) geïnstalleerd, en de juist gedownloadde DMG gewist.
Eltima Software is wel heel erg laks, IMHO!