Apple Silicon : les malwares aussi arrivent en natif

Un chercheur attire l’attention sur un adware adapté aux puces Apple Silicon. Les antivirus le détectent moins bien que sa version conçue pour les Mac Intel.

Les antivirus se sont-ils mis à la page d’Apple Silicon ? La question se pose au vu d’une expérimentation menée sur la plate-forme VirusTotal. Elle a consisté à analyser séparément les versions arm64 et x64 d’un même malware pour Mac. Résultat : le premier échantillon est nettement plus souvent passé sous les radars des moteurs de détection.

Ce malware se rattache à Pirrit, une des familles d’adwares les plus actives sur Mac. Il a effectivement la particularité d’exister dans une version native à la puce M1 d’Apple. Celle-ci complète la version conçue pour les Mac Intel, l’ensemble étant distribué sous la forme d’un binaire universel. La souche était hébergée sur VirusTotal depuis le 27 décembre 2020. Une recherche filtrée l’a fait ressortir.

🍎🐛 Uncovered (the first?) malicious program compiled to natively target Apple Silicon (M1/arm64)

And neat fact, was originally flagged & submitted via an @objective_see tool! 🔥

Read: « Arm’d & Dangerous »https://t.co/FKMMbcHCSt

— patrick wardle (@patrickwardle) February 17, 2021

Le programme prend la forme d'une extension pour Safari. Le code malveillant sur lequel il s'appuie se trouve dans un fichier JavaScript. De nombreux éléments sont masqués. On retrouve des caractéristiques typiques de la famille Pirrit. Parmi elles, la détection de VM et la protection contre le débogage.

Le binaire bénéficie d'une signature, effectuée le 23 novembre 2020 avec un ID de développeur Apple. Mais la firme de Cupertino a depuis lors révoqué le certificat.

Lire aussi : D’Intel à Arm : objectif non atteint pour Apple ?