Agora que a Apple iniciou oficialmente a transição para o Apple Silicon, o malware também fez o mesmo.
O pesquisador de segurança Patrick Wardle publicou um post em um blog detalhando que ele encontrou um programa malicioso chamado GoSearch22, uma extensão do navegador Safari que foi retrabalhada para o processador M1 da Apple. (A extensão é uma variante da família de adware Pirrit, já conhecida em Macs.) Enquanto isso, uma reportagem da Wired também cita que outros pesquisadores de segurança encontraram outras instâncias distintas de malware M1 nativo a partir das descobertas de Wardle.
O malware GoSearch22 foi assinado com uma ID de desenvolvedor da Apple em 23 de novembro de 2020 — não muito depois que os primeiros laptops M1 foram revelados. Ter um ID de desenvolvedor significa que um usuário baixando o malware não acionaria o Gatekeeper no macOS, que notifica os usuários quando um aplicativo que estão prestes a baixar é suspeito.
Os desenvolvedores podem dar um passo adicional ao enviar aplicativos à Apple para serem autenticados para confirmação extra. No entanto, Wardle observa em seu artigo que não está claro se a Apple registrou o código, já que o certificado para o GoSearch22 já foi revogado. Infelizmente, ele também escreve que, como esse malware foi detectado solto por aí, independentemente de a Apple tê-lo registrado ou não, “usuários do macOS foram infectados”.
O próprio programa parece se comportar de maneira semelhante ao seu adware padrão. Por exemplo, se você estiver infectado, estará sujeito a ver coisas como cupons, banners, anúncios pop-up, pesquisas e outros tipos de anúncios que promovem sites obscuros e downloads. Esses tipos de malware também tendem a coletar seus dados de navegação, como endereços IP, sites que você visitou, consultas de pesquisa, etc.
Isso era de se esperar, e não, se você tem um computador que roda o M1, não precisa entrar em pânico ainda. Para ajudar um pouco, o problema com o processador M1 é que a arquitetura do chip é baseada em ARM, enquanto anteriormente a Apple confiava na arquitetura Intel x86. Ao fazer a mudança, a Apple prometeu desempenho super rápido e segurança integrada. E apesar de termos comprovado que os chips M1 entregam resultados impressionantes em nossos testes de benchmark, também está claro que o chip é prejudicado por compatibilidade limitada de software.
A maioria dos aplicativos disponíveis agora não foi desenvolvida para rodar nativamente no M1 e requer o Rosetta 2 da Apple, que converte automaticamente software escrito para chips Intel em algo que o M1 pode entender. Para obter o melhor desempenho que a Apple prometeu, o software precisa ser otimizado para o chip M1. É por isso que os desenvolvedores estão trabalhando na criação de versões M1 nativas de seu software. Naturalmente, os desenvolvedores de malware também desejam que seu software opere em capacidade máxima em dispositivos M1.
A boa notícia é que os pesquisadores e as empresas de segurança também estão trabalhando para desenvolver métodos de detecção de malware M1. De acordo com a Wired, no entanto, haverá um pouco de atraso nas taxas de detecção ao tentar encontrar novos tipos de malware. Dado esse atraso inevitável, é preocupante que os desenvolvedores tenham conseguido fazer uma transição tão rápida da Intel para a Apple Silicon.
Até agora, as instâncias nativas de malware M1 que foram encontradas não são ameaças significativas. Mas! O M1 existe há apenas alguns meses e é provável que mais tipos de variantes maliciosas estejam a caminho. Claro, eventualmente, as empresas de segurança irão se atualizar e atualizar as ferramentas de detecção para manter os consumidores seguros. Mas, enquanto isso, se você tem um laptop com motor M1, é uma boa ideia reforçar sua segurança e pensar duas vezes antes de clicar em alguma coisa.