lunes, 23 de mayo de 2011

El troyano para Mac disfrazado de anti-virus.

Juan es un veterano usuario de ordenadores Mac; Pedro, sin embargo, acaba de comprar su primer ordenador de Apple y sólo ha tenido experiencia con PCs con Windows.

Ambos, navegando por internet y visitando ciertas páginas, hacen clic sobre un enlace que parece de su interés, y de repente, se encuentran con una página y una ventana emergente con un mensaje de advertencia de algo llamado Apple security center, y que les advierte de que, tras escanear el ordenador se han detectado toda clase de virus. La ventana invita a pulsar un botón (Remove all) para eliminar todos esos virus.

Juan, se sorprende en un primer momento, pero enseguida desconfía ya que jamás ha visto esto en un Mac, y observa que el supuesto Apple security center es en realidad el contenido mostrado por su navegador, de una página web con una extraña y enrevesada dirección. Todo esto le huele a trampa e intenta cerrar la extraña ventana, pero viendo que no es posible acaba forzando la salida de su navegador. Indignado, contará el asunto a sus amigos y lo "posteará" en los foros en los que participa.

Pedro por el contrario, se asustará; ha sufrido en ocasiones el trastorno causado por los virus en su viejo PC y casi se alegrará de que el tal Apple security center haya intervenido milagrosamente en su favor. Sin pensarlo, hará clic sobre el botón Remove all esperando ver desaparecer el listado de peligrosos virus que le es mostrado. Sin embargo, ocurrirá algo diferente: empezará la descarga de algo llamado anti-malware.zip o algo parecido.

Alguien debiera haber advertido a Pedro de que alguien en Apple decidió que Safari descomprima y abra por defecto lo que de forma paradójica llaman "archivos seguros". Como veis, es recomendable ir a las Preferencias de Safari y desactivar esta peligrosa opción. Pero como Pedro no sabía nada se abrirá automáticamente el instalador de algo llamado Mac Protector.

Llegados a este punto, Pedro debiera ser lo bastante sensato como para pensar muy bien el siguiente paso a dar. El instalador de algo de lo que jamás había oído hablar antes le está pidiendo ni más ni menos, que la contraseña de administrador. Afortunadamente, el sentido común le impedirá seguir adelante y decidirá cerrar ese extraño instalador.

Pero otro usuario, Antonio, ha llegado al mismo punto que Pedro. Es indiferente que haya sido usuario de Mac o de Windows, pero es de los que cometen el peligroso error de hacer clic compulsivamente en todos los botones Continuar, OK, Seguir, etc... que le pongan delante, y si se le pide la contraseña, la escribe sin pensárselo dos veces, esto suponiendo que haya definido alguna vez una contraseña, claro.


Lo único que quiere es que todo este molesto proceso termine pronto para seguir con lo que estaba. Sólo se sorprenderá cuando vea abrirse un supuesto antivirus y empiecen a aparecer llamativos mensajes de alerta avisando de múltiples infecciones en su ordenador. Probablemente pulsará los botones Cleanup para eliminar los virus pero será sorprendido por un nuevo mensaje que le advierte de que su antivirus no está registrado. Es más, para hacer esto debe facilitar los datos de su tarjeta de crédito para comprar la correspondiente licencia. Puede que Antonio recapacite, o tal vez piense que antes muerto que pagar por ese software, por lo que es posible que la cosa acabe aquí.

Pero entre cien Antonios, siempre habrá más de uno que aún a regañadientes, introducirá los datos de la tarjeta de crédito y caerá finalmente en la trampa. Esto es inevitable y siempre ocurre, y sólo así se entiende que siga habiendo tanta víctima de ese phishing que suplanta entidades bancarias.

Mac Protector, Mac Security o Mac Defender, que son algunos de los nombres con los que se autodenomina este malware de origen ruso, utiliza por tanto y para colarse en tu ordenador, un método basado en el engaño que es muy utilizado para infectar PCs con Windows pero que ahora se está difundiendo para conseguir instalar troyanos en los Mac. Desde luego se han tomado muchas molestias para darle apariencia de autenticidad y para diseñar una interfaz tan compleja y cuidada, pero afortunadamente y como veis, es necesaria la participación o colaboración de un usuario poco prudente para que este falso anti-virus sea instalado.

Este malware no es por tanto un virus que se introduce de noche por una ventana mal cerrada mientras duermes y sin que te enteres de nada, sino un troyano que llama a la puerta haciéndose pasar por policía y pidiéndote permiso para entrar. Pero si habéis visto desde pequeños tanta película americana como yo, ya sabréis que primero hay que pedir que nos muestren la placa... y luego la orden de registro.


Capturas de pantalla obtenidas de: sysgear, net-security, removal-tool

Enlaces de interés:

Antivirus "de verdad" y gratuitos para Mac:
No hay comentarios:

Publicar un comentario