Apple сама пропускает приложения с вирусами на Mac. Вот как это происходит

В операционной системе macOS намечается тревожный тренд, о котором раньше говорили скорее теоретически, а теперь он всё чаще всплывает в реальных отчётах по безопасности. Речь о вредоносных программах, которые проходят официальную проверку Apple и запускаются на Mac без каких-либо предупреждений.

❗ЕЩЕ БОЛЬШЕ СТАТЕЙ ОБ APPLE ИЩИТЕ В НАШЕМ ДЗЕНЕ СОВЕРШЕННО БЕСПЛАТНО

На днях исследователи из Jamf Threat Labs рассказали о новой версии семейства MacSync Stealer. Самое неприятное здесь не в самом вирусе, а в способе его распространения. Приложение было подписано действующим Developer ID и успешно прошло процедуру нотарификации Apple. Для Gatekeeper оно выглядело как полностью легитимное ПО, поэтому macOS не видела причин блокировать запуск.

Исторически модель безопасности Apple работала довольно надёжно. Приложения вне Mac App Store должны быть подписаны и нотарифицированы, иначе пользователю придётся вручную обходить системные ограничения. Проблема в том, что сама идея подписи строится на доверии. Предполагается, что если у разработчика есть сертификат, то и намерения у него добросовестные. Сейчас это допущение всё чаще используется против самой системы.

По данным специалистов, злоумышленники получают настоящие сертификаты разработчиков разными способами. В одних случаях речь идёт о взломанных аккаунтах. В других — о покупке доступов на подпольных рынках. Это резко снижает подозрения, ведь формально приложение подписано реальным разработчиком и прошло проверку Apple.

Схема атаки обычно выглядит так. В момент нотарификации в Apple отправляется относительно безобидный бинарник. Часто это простой Swift исполняемый файл, который не содержит явных признаков вредоносной активности. Он успешно проходит статический анализ, получает одобрение и подпись. А вот настоящая угроза включается уже после установки.

После первого запуска приложение связывается с удалённой инфраструктурой и загружает дополнительные компоненты. Именно они и выполняют кражу данных, паролей или токенов доступа. На этапе проверки этих файлов ещё не существует, поэтому Apple физически не может их проанализировать. Нотарификация проверяет то, что загружено в момент отправки, а не то, что приложение может получить позже. Злоумышленники давно поняли этот момент и научились аккуратно его обходить.

Важно отметить, что это не новая проблема. Первые случаи нотарифицированного вредоносного ПО фиксировались ещё в 2020 году. В середине 2025 года всплывали похожие инциденты. Сейчас их становится больше, но говорить о массовой катастрофе пока рано. При этом сваливать всю вину на Apple тоже не совсем корректно. Подпись и нотарификация никогда не обещали стопроцентную безопасность. Их задача другая: сделать происхождение приложения отслеживаемым и дать Apple возможность быстро отозвать сертификат, когда вскрываются какие-либо проблемы.

❗ПОДПИСЫВАЙСЯ НА ТЕЛЕГРАМ-КАНАЛ СУНДУК АЛИБАБЫ, ЧТОБЫ ПОКУПАТЬ ТОЛЬКО ЛУЧШИЕ ТОВАРЫ С АЛИЭКСПРЕСС

Тем не менее сам вектор атаки крайне показателен. Он демонстрирует, что даже официальные механизмы защиты могут быть использованы против пользователя, если он полностью полагается на автоматические проверки. В итоге правило остаётся прежним и актуальным. Устанавливать программы стоит только из доверенных источников. Либо напрямую с сайтов разработчиков, репутации которых вы доверяете, либо из Mac App Store. Подпись Apple сегодня — это важный фильтр, но уже не абсолютная гарантия безопасности.