Hrozby pro macOS: Útočníci závěrem loňského roku kradli na počítačích od Applu uživatelská data

S více než třetinovým podílem všech zachycených detekcí uzavřel loňský rok na platformě macOS malware PSW.Agent. Jedná se o infostealer, který útočníci využívají ke krádeži citlivých a osobních údajů svých obětí.

Vyplývá to z detekčních dat společnosti ESET pro Česko a Slovensko za období od října do prosince 2025. Bezpečnostní experti po celý loňský rok pozorovali vzrůstající počet detekcí tohoto malwaru, který zatlačil do pozadí dlouhodobě převládající adware. S proměnou kyberhrozeb pro počítače od společnosti Apple tak připomínají, že ani v případě této platformy by uživatelé neměli rezignovat na profesionální ochranu.

„Škodlivý kód PSW.Agent jsme na platformě macOS sledovali po celý loňský rok. Poslední čtvrtletí pak potvrdilo, že tu máme opravdu významnou změnu v rozložení škodlivých kódů. Zatímco v minulých letech jednoznačně převládal adware, tento rok ve všech sledovaných obdobích stále více přebíral pomyslné žezlo právě infostealer určený ke krádežím dat. Infostealery známe dobře z prostředí operačního systému Windows. Rád bych zdůraznil, že se jedná o poměrně zásadní zprávu pro uživatele a uživatelky počítačů od Applu. Jakkoli mohli v minulosti vnímat, že kybernetické hrozby pro tuto platformu bývají spíše mírnější, měli by nyní opravdu zpozornět! V případě infostealerů jsou v sázce osobní údaje, které mohou útočníkům zpřístupnit účty a cestu k našim penězům. Doporučoval bych jim tak zvážit kvalitní bezpečnostní software,“ říká Jiří Kropáč, vedoucí výzkumné pobočky společnosti ESET v Brně.

Se šířením infostealerů pomáhá SEO

Zatímco během roku 2025 šířili útočníci pod označením PSW.Agent především malware rodinu Atmos Stealer (AMOS), v posledním čtvrtletí loňského roku převládla rodina označovaná názvem Cuckoo infostealer. Obě rodiny infostealerů jsou si podobné jak po stránce svých funkcí, tak i zacílení.

„I s využitím malwaru Cuckoo infostealer útočníci dokážou získat citlivá, osobní a jinak zajímavá uživatelská data. Jejich cílem nadále zůstala také data z prostředí kryptoměnových účtů a peněženek. Zajímají je také různé dokumenty nebo přihlašovací údaje k účtům,“ informuje Kropáč. „V posledním čtvrtletí jsme se nejvíce setkali s tím, že útočníci ukrývali malware pod falešné konvertory, tedy nástroje k převodům multimediálních souborů – šlo třeba o falešný program Spotify Music Converter nebo Amazon Music Converter. Pokud si uživatelé takový program stáhli, protože chtěli stáhnout a převést hudební soubor z aplikace do formátu mp3, vpustili při spuštění nástroje škodlivý kód do svého počítače. Aby podpořili rozšíření těchto škodlivých nástrojů mezi uživatele, využili útočníci techniku SEO, Search Engine Optimization. Podobně, jako online reklamní specialisté v legitimních podnikatelských odvětvích.“

Stejně jako v případě jiných aplikací nebo her bezpečnostní experti doporučují, aby uživatelé a uživatelky vždy stahovali programy a nástroje pouze z oficiálních obchodů daných platforem, v tomto případě tedy z App Store. Spolehlivým zdrojem malwaru jsou naopak veřejná úložiště a uživatelská fóra. Zpozornět bychom měli vždy, když narazíme na nějakou výhodnou nabídku. Pokud nějaká aplikace slibuje vyřešení problému na počítači úplně zdarma, vždy by to měl být podle nich varovný signál.

Rizikem pro macOS je i scareware nebo cryptominery

V posledních třech měsících roku 2025 se na platformě macOS objevily i další typy škodlivých kódů, byť v daleko menším zastoupení, než tomu bylo v případě infostealerů. Jednalo se například o scareware nebo tzv. cryptominery.

„Škodlivý kód Downloader.Adload známe jako malware, který stahuje do zařízení další škodlivé kódy. V období od října do prosince loňského roku to tentokrát byly nejrůznější škodlivé čistící aplikace či nástroje určené k odinstalování programů. Downloader.Adload tyto škodlivé doplňky stahoval skrytě a ty se pak jako tzv. scareware snažili uživatele vystrašit nějakou urgentní zprávou o nutnosti nápravy a vyčištění jejího zařízení od nějaké hrozby. V desetině všech případů se ale objevil i škodlivý kód OSAMiner určený ke skryté těžbě kryptoměn bez vědomí majitele zařízení. Uživatelé ho opět mohli nejčastěji stáhnout jako domnělou aplikaci pro údržbu operačního systému poté, co klikli na podvodné reklamní okno v internetovém prohlížeči. Útočníci jej využívají k těžbě kryptoměny Monero,“ upozorňuje Kropáč.

Co lze očekávat letos?

Bezpečnostní experti předpokládají, že s falešnými škodlivými programy a aplikacemi, které útočníci vydávají za legitimní služby známých značek, se budeme setkávat i v letošním roce. Profesionální bezpečnostní software dokáže uživatele ochránit nejen před pokročilými škodlivými kódy, jako jsou infostealery nebo ransomware, ale upozorní nás i v případě, kdy klikneme na nebezpečný odkaz, otevřeme nebezpečnou webovou stránku nebo se pokusíme stáhnout potenciálně nechtěnou a škodlivou aplikaci.