Die Auswertung sieht doch sehr nach Schädling aus. Fake-Passwort-Abfrage ebenso.
Und natürlich kann ein Installer alles tun, was im Rahmen der Benutzerrechte möglich ist.
Z.B. sämtliche Nutzer-Dateien löschen oder verschlüsseln, alle Benutzereingaben künftig kopieren und nach sonstwo verschicken usw. Das gilt übrigens ja sogar auch für in erster Näherung legitime Software wie alte Safari-Extensions…
Um zu prüfen, was das nun war, empfehle ich
https://www.mothersruin.com/software/SuspiciousPackage/use.html
Z.B. sämtliche Nutzer-Dateien löschen oder verschlüsseln, alle Benutzereingaben künftig kopieren und nach sonstwo verschicken usw. Das gilt übrigens ja sogar auch für in erster Näherung legitime Software wie alte Safari-Extensions…
Um zu prüfen, was das nun war, empfehle ich
https://www.mothersruin.com/software/SuspiciousPackage/use.html