Sembrava un malware Mac tutto sommato poco pericoloso, invece Fruitfly continua a essere attivo a mesi dalla sua scoperta e raccoglie più informazioni di quanto non sembrasse inizialmente. La conclusione deriva dal lavoro portato avanti dallo sviluppatore ed esperto di sicurezza Patrick Wardle, che ha “isolato” un campione del malware e lo ha messo in condizione di esprimere il suo potenziale.
Wardle ha spiegato che per capire cosa effettivamente fa Fruitfly ha simulato la presenza dei suoi server di comando e controllo, ossia i server che ricevono le comunicazioni dal malware una volta installato e gli indicano cosa fare. I server originali del malware ora non sono più attivi, ma ce ne sono altri di backup.
In questo modo Wardle ha cominciato a ricevere le comunicazioni non solo della sua copia “ingabbiata” del malware ma anche delle istanze di Fruitfly che si trovano su vari Mac infettati. Ha così verificato che il malware raccoglie le principali informazioni sui Mac in cui è installato e che di computer colpiti ce ne sono ancora molti.
Dalle sue prove private aveva già verificato che il malware può impadronirsi di diversi componenti del Mac, compresi mouse, tastiera e webcam. Può anche modificare i file del sistema colpito e scattare istantanee dello schermo.
Fruitfly è stato in teoria bloccato da Apple con un aggiornamento delle sue funzioni anti-malware. Wardle però ritiene che il blocco offerto dai software di sicurezza Mac sia relativamente poco efficace. Dato che con tutta probabilità si diffonde attraverso allegati di posta, vale sempre la regola di non aprire quello di cui non si è assolutamente sicuri.