Er ligt een nieuwe trojan voor Mac OS X op de loer, die middels een adware-plugin advertenties op websites toont, waardoor inkomsten worden gegenereerd voor de auteur van de malafide software. Trojan.Yontoo.1, zoals de trojan heet, is actief in Google Chrome, Mozilla Firefox en Apple’s eigen browser Safari.

De trojan is ontdekt door Dr. Web, een Russisch antivirusbedrijf dat ook de Flashback-trojan voor Mac OS X ontdekte. Dr. Web verklaart dat criminelen meer en meer profijt hebben van advertentienetwerken, daarnaast wordt de interesse in Apple-computers met de dag groter. Trojan.Yontoo.1 is een perfect voorbeeld van het feit dat criminelen steeds meer brood zien in beide zaken.

Trojan.Yontoo.1 laat zich op verschillende manieren installeren, maar vereist wel handelingen van de gebruiker. Zo wordt de software verpakt als een zogenaamd benodigde plugin voor het afspelen van een trailer van een film. Als toestemming wordt gegeven voor de installatie van de plugin, wordt er verwezen naar een site waar de trojan gedownload wordt. Infectie met Trojan.Yontoo.1 kan ook gebeuren door de installatie van andere programma’s die als vermomming dienen, zoals een mediaspeler of een downloadversneller.

Als Trojan.Yontoo.1 eenmaal actief is, wordt een keuzescherm getoond om Free Twit Tube te installeren, als dit eenmaal gebeurd is, wordt de advertentieplugin voor Safari, Chrome en Firefox binnen gehengeld. Deze plugin zorgt er voor dat internetpagina’s advertenties van degene achter Trojan.Yontoo.1 tonen, waardoor diegene inkomsten ontvangt vanuit de getoonde advertenties, afhankelijk van het aantal infecties mogelijk een zeer lucratieve zaak.

Dr. Web merkt op dat een soortgelijke trojan ook actief is op Windows-systemen.