Die Produkte des Unternehmens Apple standen bisher für hochwertige Verarbeitung und benutzerfreundliche Bedienung bei innovativer Technik. Da das hauseigene Betriebssystem Mac OS auf Unix basiert, standen iPhone und Mac lange im Ruf sehr sicher zu sein. Darüber hinaus galt Unix – und damit indirekt auch Mac OS – schlicht als Nischenprodukt. Kriminelle Angriffe erschienen in der Regel nur bei Produkten des Branchen-Riesen Microsoft erfolgversprechend.
Inzwischen gibt es allerdings zunehmend Schadsoftware, die explizit für Mac OS geschrieben wird. Seit einiger Zeit ist ein Programm im Umlauf, dass sich als Patch für Microsoft Office 365 und Adobes Creative-Cloud tarnt und bei Installation die Daten der Festplatte verschlüsselt. Entsprechend ihrem angeblichen Zweck wurde die Schadsoftware “Patcher” getauft. Nach erfolgter Verschlüsselung bekommt der Benutzer eine Aufforderung, ein Lösegeld für die eigenen Daten zu bezahlen. Patcher ist allerdings keine offizielle Sorftware, die per iTunes bezogen wird, sondern ist in Tauschbörsen für Schwarzkopien im Umlauf. Patcher wird per Bittorrent heruntergeladen und gibt vor, die genannten Programme für den Benutzer ohne Kosten freizuschalten.
Dabei hintergeht Patcher die Betroffenen allerdings: Die Ransomware fordert nach der Verschlüsselung zur Zahlung eines Lösegelds per Bitcoin auf – allerdings werden die eigenen Daten auch nach einer eventuellen Zahlung nicht wieder freigegeben. Nach Angaben der Sicherheitsforscher wurde das Programm in der neuen Programmiersprache Apples, “Swift”, geschrieben. Nach der Untersuchung des Quellcodes konnte festgestellt werden, dass “Patcher” äußerst simpel gestaltet ist. Die Ransomeware enthält keine Verbindung zum Entwickler, teilt diesem also auch eine erfolgte Verschlüsselung oder einen Entsperr-Code nicht mit. Ob ein Nutzer zahlt oder nicht, hat also überhaupt keinen Einfluss auf eine Entschlüsselung.
Darüber hinaus seien weitere Fehler in der Programmierung aufgefallen. Freier Speicher würde beispielsweise mit falschen Pfaden angesprochen, und klickt ein Betroffener die Hinweismeldung des Verschlüsselungs-Trojaners weg, kann er dieses nicht wieder öffnen um Informationen über die Schadsoftware zu erhalten. Die mangelnde Professionalität zeigt sich laut Untersuchungsbericht aber gerade in der festgeschriebenen Information zur Bezahlung. Auch diese kann mangels Verbindung zum oder vom Hacker nicht verändert werden – dass hier nicht auf Flexibilität geachtet wurde, ließe Rückschlüsse auf eine Entwicklung durch Amateure zu. Die Kontaktinformationen sind dabei in einer simplen Readme-Textdatei hinterlegt.