研究人员揭露首个锁定苹果M1装置的恶意程式

Mac安全研究人员Patrick Wardle本周表示，他找到了很可能是史上第一款锁定苹果M1装置的恶意程式，它是GoSearch22，假冒为Safari的合法扩充程式，为Mac恶意广告程式Pirrit的变种。Wardle相信已有M1用户受到感染，而且防毒软件侦测到它的能力有待加强。

图片来源／Patrick Wardle

M1为苹果自制芯片，已应用在MacBook Air、13吋MacBook Pro与Mac mini等苹果装置上，由于它采用Arm架构，因此苹果鼓励开发人员打造基于该架构的原生程式，以能更顺畅地在M1机器上执行，同时苹果也于macOS上提供了Rosetta 2，以将基于Intel架构的应用程序转译为Arm架构，让Intel架构程式也能在M1上运作。

Wardle说明，由于基于Arm架构的应用程序在M1上的效能，明显优于透过Rosetta 2转换的程式，于是他也开始着手把Objective-See的各种开源工具改成Arm架构，他还想到，会不会恶意程式作者也有同样的想法，因而决定到搜集大量病毒样本的VirusTotal网站一探究竟。

Wardle过滤了各方研究人员上传到VirusTotal的病毒样本，发现了GoSearch22。GoSearch22为恶意广告程式Pirrit的变种，但它为原生的M1程式，不需要转换就能于M1装置上执行，且其作者也具备苹果开发者ID，由于GoSearch22是由使用者上传至VirusTotal，因此Wardle相信已有M1用户遭到感染。

图片来源／Patrick Wardle

GoSearch22为苹果浏览器Safari的扩充程式，当M1使用者安装了该扩充程式之后，就会不时看到自行跳出的优惠券、横幅广告、调查，或是其它型态的广告，且通常这类的广告程式还会搜集使用者的浏览资料，包括IP地址、所造访的网页、输入的搜寻字串或使用者位置等。

GoSearch22是在去年的11月23日由苹果开发人员hongsheng yan所签署，并于去年的12月底被上传至VirusTotal，在Wardle于2月14日公布此一研究之际，苹果也已撤销了GoSearch22的证书。

图片来源／Patrick Wardle

Wardle认为，GoSearch22的现身代表恶意程式作者也与时俱进地改善自己的程式，以迎合市场上最新的硬件与软件环境。

另一个值得注意的是，Wardle分割了GoSearch的x86 64与Arm 64的二进制文件，再把它们同时上传到VirusTotal，并以多种分析工具及防毒引擎进行扫描，理论上两个文件被找到的概率应该是一样的，但事实上Arm 64版本被找到的概率少了15%，许多主流的防毒引擎并未把它列为恶意程式，透露出防毒软件侦测M1/Arm 64恶意程式的能力有待加强。