我的注意是几个星期前绘制的,在Mac App Store中的一组6个应用程序,所有人都由名为Nicholas Ebner的人制作。提请我注意的一部分是其中一个应用程序的名称:广告软件WebMedic Pro,可疑地类似于我旧的Adwaremedic应用程序的名称。这不是第一次尝试使用该名称使用垃圾应用程序,所以我立即可疑。

我下载了这个应用程序并通过它的步伐运行,并迅速确认了我的怀疑。我所做的第一件事是对83个不同的广告软件和恶意软件文件运行其恶意软件扫描,所有这些都安装在用户文件夹中的右侧位置(这是此应用程序可以扫描的唯一位置)。

该应用程序提出了许多检测......但是当我审查它们时,它结果是它们是安装到用户应用程序文件夹中的FlashMall应用程序的所有组件。在某些情况下,奇数组件也是...它检测到应用程序内的徽标文件,如恶意。(它不是。)

其他一切都错过了。但有趣的是,之后的检查表明只剩下53个威胁文件。那些没有被发现的那些其他东西,消失了?一些调查显示,应用程序简单地删除了LaunchAgents文件夹和Firefox的SearchPlugins文件夹,无论在它们内部内部。

它的“网络保护”功能简单地做一些事情,比如清除浏览器设置、缓存等,以及清除所有浏览器扩展——不管它们是否合法。

nikoff-webmedic

值得注意的是,该应用程序将纠缠您的应用程序或转到公司的网站......没有选择其他任何事情。

nikoff-webmedic2.

点击“Yes”,你就会被带到App Store。点击“不”,你就会被带到尼科夫安全网站,并提示你联系他们。如果不点击这些按钮,没有其他方法可以关闭这个窗口,甚至退出应用程序。

该公司开发的其他几个应用程序——Adware Scanner & Remover和Adware Browser Cleaner Pro——似乎只是复制了Adware WebMedic Pro的功能子集。Adware Scanner & Remover执行相同的“恶意软件扫描”功能,而Adware Browser Cleaner Pro执行“网络保护”部分。

另一对应用程序弹出一个星期后:AntiKeylogger医生和AntiRansomware医生,每个$ 4.99在写这篇文章的时间。一些快速测试表明它们也是垃圾。

AntiRansomware Doctor的测试很简单,因为迄今为止Mac上只有一个勒索软件应用程序(KeRanger)。我将受KeRanger感染的Transmission复制到桌面上,还安装了KeRanger复制到用户的Library文件夹中的恶意kernel_service文件。反勒索软件医生没有检测到任何部分。

Nikoff-Antoransomware.

同样,我安装了几个不同的常用Mac键盘,然后ran antikeylogger医生,它还报告系统清洁,无法检测到任何已安装的组件。

第六和最终应用程序称为防病毒Spartan Pro,并由其他五个应用程序中的每一个促进,所有这些应用程序都是在主窗口底部的这个应用程序的非常突出的广告。那么,那个应用程序看起来像什么?

Antivirus Spartan Pro最初是一款付费应用,但根据其app Store页面显示,最近已免费推出。(这使得分析它更便宜!)

防病毒斯巴达Pro的功能包括所有其他应用程序的功能-这是说很少到没有。然而,由于它特别以杀毒应用程序的身份推销自己,我对它进行了额外的测试。我安装了今年以来所有主要的Mac恶意软件:KeRanger、Eleanor、Keydnap、AdwindRAT和Mokes。所有的安装文件都在用户文件夹中,所以即使是应用程序商店的应用程序也应该可以检测到。Antivirus Spartan Pro没有检测到这些文件,告诉我系统是干净的。

一旦确定这些应用程序都是垃圾,我就对追踪创建者产生了兴趣。根据App Store的说法,这款应用的开发者名叫Nicholas Ebner。这些应用程序会将用户引导到尼科夫安全公司(Nikoff Security)位于罗马尼亚的一个网站。不幸的是,该网站的所有权隐藏在隐私服务之后,所以这是已知的范围。

有一个诱人的化 - 但完全未经证实的 - 提示这表明“尼古拉斯Ebner”可能是假名。在两个单独的网站上,Antivirus Spartan Pro被列为尼古拉·普罗斯库(Nicolae Popescu)开发:

nikoff-popescu

有趣的是,有一个叫尼古拉·波佩斯库的人,来自罗马尼亚,因为网上拍卖欺诈而被联邦调查局通缉。Popescu可能已经开始开发诈骗应用程序,但他并没有完全掩盖自己参与这些应用程序的事实。同样的,这很可能是另一个尼古拉·波佩斯库,甚至是这两个网站中的一个犯了错误,被另一个捡了起来。我们不能确定,因为那是线索消失的地方。

无论如何,这些应用程序都是PUPs,并且会被检测到必威平台APPMalwarebytes Anti-Malware for MacPUP.NikoffSecurity。