Malware para Mac consigue evitar las protecciones de Apple

eleanor1

Conforme pasan los años vamos observando como el malware para Mac OSX se va afianzando poco a poco. Las cifras que se manejan aun son muy pequeñas si las comparamos con las amenazas existentes para otros sistemas como Windows o Android, pero el crecimiento es constante. Si somos usuarios de Mac OSX, nunca está de más aprender a reconocer estas amenazas para evitar caer en las trampas preparadas por los delincuentes.

Una polémica herramienta de limpieza

Desde hace años, una de las estrategias preferidas para conseguir instalar software no deseado en nuestro Mac pasa por ofrecer herramientas de limpieza y puesta a punto de nuestro sistema. Estas herramientas prometen resolver problemas inexistentes y muestran al usuario alarmantes mensajes que requieren su inmediata atención.

El caso que vamos a analizar hoy fue investigado por Thomas Reed, experto en seguridad que trabaja en la empresa MalwareBytes. En su investigación, Thomas recibió un enlace que le dirigía a una falsa web donde se le avisaba de que su Mac estaba infectado. Curioso por analizar este scam, no tardó en descubrir como detrás de este engaño se encontraba un conocido fabricante de programas de dudosa utilidad como Advanced Mac Cleaner o Mac Adware Cleaner.

macfileopener1

Como ya hemos dicho, el uso de estrategias que infunden el miedo en los usuarios como, por ejemplo, mostrar alertas de infecciones inexistentes, es una práctica conocida desde hace tiempo. Si el usuario hace caso a esas falsas alertas, normalmente terminará pagando por un producto de dudosa utilidad que incluso es posible que añada más molestias en forma de ventanas emergentes de anuncios mientras navega o usa sus aplicaciones favoritas.

Sin embargo, cuando este investigador realizó la prueba de descargar e instalar esta versión de Advance Mac Cleaner se encontró con algo inusual. Además de instalar la aplicación habitual, observó como también se había instalado otra de nombre Mac File Opener. No obstante, esta aplicación permanece oculta a los ojos del usuario inexperto, puesto que no muestra ningún icono para ejecutarla ni carga ningún servicio en memoria. Tan solo se queda esperando a que el usuario realice alguna acción que su código tenga definida.

Una aplicación para ejecutar a todas las demás

Este comportamiento anómalo llamó la atención del investigador, por lo que se decidió a analizar esta aplicación un poco más a fondo. Gracias a que todas las aplicaciones de Mac incorporan un fichero llamdo Info.plist que incluye varias características de la aplicación, se ha podido averiguar como Mac File Opener estaba diseñada para iniciarse cuando el usuario intentase abrir alguno de los 232 tipos de ficheros diferentes que tenía introducidos en su código fuente.

Esto le permite ejecutarse cuando el usuario abra prácticamente cualquier tipo de archivo y, además, en el caso de que no exista una aplicación definida para abrir un determinado tipo de fichero, Mac File Opener será la que intente ejecutarlo. Esta ingeniosa técnica permite engañar a un usuario inexperto de forma bastante convincente.

Pongamos, por ejemplo, que recibimos un archivo con la extensión .skp que corresponde al software SketchUp pero no tenemos esa aplicación instalada en nuestro Mac. El sistema está diseñada para que, cuando intentemos abrirlos se nos muestre una pantalla que nos permita elegir entre una aplicación instalada o buscar directamente en la App Store.

macfileopener3

Imagen cortesía de Malwarebytes

Sin embargo, en el caso de tener instalado Mac File Opener en el sistema, las opciones cambian notablemente. En la siguiente captura de pantalla se puede observar como la opción de elegir una aplicación ya instalada para abrir el fichero no se encuentra disponible y se ha sustituido la opción de buscar en la App Store por otra que nos invita a buscar en la web.

macfileopener4

Imagen cortesía de Malwarebytes

Este mensaje no está generado por el sistema sino que es la propia aplicación Mac File Opener la que lo muestra, imitando al mensaje original. Su finalidad está clara y es redirigir al usuario a una web especialmente preparada donde se pueden observar una gran cantidad de enlaces que prometen abrir ficheros con diferentes extensiones, además de mostrarse de vez en cuando, ventanas emergentes con nuevos avisos falsos de infecciones en el sistema.

macfileopener5

Independientemente de la extensión del fichero que queramos abrir, se nos indicará que la posible causa que impide su correcta apertura puede estar relacionada con una infección. Esta es la excusa perfecta para descargar otras aplicaciones del mismo fabricante que, de nuevo, no hacen otra cosa que molestar, mientras el usuario cree que está solucionando problemas de seguridad en su equipo.

Certificado legítimo para saltarse la protección

El verdadero problema a revisar es que todas las aplicaciones que hemos comentado cuentan con un certificado válido otorgado por Apple a empresas aparentemente legítimas. Este certificado permite instalar sus aplicaciones sin que los sistemas de seguridad que Apple tiene en Mac OSX alerten al usuario de que, posiblemente, se encuentre ante una aplicación fraudulenta.

Además, aunque parezca que estas dos aplicaciones han sido desarrolladas por dos empresas diferentes, un análisis a fondo de las mismas realizado por el investigador de Malwarebytes demostró que compartían muchas similitudes en la forma en la que estaba escrito el código, e incluso se hacían referencia la una a la otra.

Por este motivo y por el historial de aplicaciones potencialmente peligrosas que estas empresas tienen a sus espaldas, sería lógico descartar la teoría del robo de certificados. Todo apunta a que han sido las empresas propietarias de estos certificados las encargadas de desarrollar estas aplicaciones maliciosas.

Conclusión

Las empresas de seguridad legítimas ya han empezado a detectar estas aplicaciones como maliciosas, por lo que recomendamos actualizar nuestra solución antivirus en caso de contar con ella en nuestro Mac.

En caso contrario, esta puede ser una buena excusa para probar alguna de las soluciones disponibles en el mercado aunque siempre asegurándose de hacerlo desde la web oficial de un fabricante de confianza para evitar molestias como la que acabamos de revisar.

Josep Albors

 

Vulnerabilidades en vBulletin responsables de los robos de datos de millones de datos personales