• Tweet

Intego ha descubierto una aplicación de software espía que es instalada por una serie de aplicaciones para Mac y protectores de pantalla distribuidos libremente, que se encuentran en una variedad de sitios web.

Este spyware, OSX/OpinionSpy, realiza una serie de acciones maliciosas, desde el escaneo de archivos hasta el registro de la actividad del usuario, así como el envío de información sobre esta actividad a los servidores remotos y la apertura de puertas traseras en Macs infectadas.

OSX/OpinionSpy se instala por una serie de aplicaciones y protectores de pantalla que se distribuyen en sitios como MacUpdate, VersionTracker y Softpedia. El propio spyware no está contenido en estas aplicaciones, pero se descarga durante el proceso de instalación. Esto demuestra la necesidad de un programa de puesta al día de anti-malware con un escáner en tiempo real que pueda detectar este malware cuando es descargado por el instalador de la aplicación original.

La información proporcionada con algunas de estas aplicaciones contiene un texto engañoso, que los usuarios deben aceptar, que explica que un programa de "investigación de mercado" es instalado con ellas, pero no todas lo especifican. Algunos de estos programas también se distribuyen directamente desde los sitios web de los desarrolladores, sin advertencia alguna.

El malware, del cuál ha existido una versión para Windows desde 2008, pretende recoger información de navegación y compras que se utiliza en los informes de mercado. Sin embargo, este programa va mucho más allá, realizando una serie de acciones maliciosas, que han llevado a Intego a clasificarlo como spyware.

OSX/OpinionSpy realiza las siguientes acciones:

* Esta aplicación, que no tiene interfaz, se ejecuta como root (solicita una contraseña de administrador en la instalación) con plenos derechos para acceder y modificar cualquier archivo en el equipo infectado.

* Si por alguna razón la aplicación deja de ejecutarse, es re-lanzado a través de launchd, la aplicación a nivel de sistema, utilería de lanzamiento de servicios.

* Se abre una puerta trasera a través del puerto HTTP 8254.

* Escanea todos los volúmenes accesibles, analizando archivos, y utilizando una gran cantidad de tiempo de CPU. No está claro qué datos copia y envía a sus servidores, pero analiza archivos en volúmenes locales y de red, abriendo potencialmente un gran número de archivos confidenciales.

* Analiza los paquetes que entran y salen de la Mac infectada en una red local, analizando los datos procedentes de, y siendo enviados a, otros equipos. Una Mac infectada puede, por tanto, recoger una gran cantidad de datos desde diferentes equipos en una red local, como en un negocio o escuela.

* Inyecta código, sin intervención del usuario, en Safari, Firefox e iChat, y copia los datos personales de estas aplicaciones. Inyección de código es una forma de comportamiento similar a la de un virus, y este malware "infecta" las aplicaciones cuando se están ejecutando para poder llevar a cabo sus operaciones. (Infecta el código de las aplicaciones en la memoria de la Mac, y no infecta realmente los archivos de las aplicaciones en el disco duro del usuario.)

* Se envían regularmente datos, de forma cifrada, a una serie de servidores que utilizan los puertos 80 y 443. Envía datos a estos servidores acerca de los archivos que haya analizado a nivel local, y también envía direcciones de correo electrónico, encabezados de los mensajes de iChat y URLs, así como otros datos. Estos datos pueden incluir datos personales, como nombres de usuario, contraseñas, números de tarjetas de crédito, los favoritos del navegador web, historial de navegación y mucho más.

* Dado el tipo de datos que recolecta, la compañía detrás de este spyware puede almacenar un registro detallado de los usuarios, sus costumbres, sus contactos, su localización y mucho más.

* La aplicación se puede actualizar de forma automática, con nuevas características añadidas, sin intervención del usuario y sin que el usuario sea consciente de ello. En ocasiones se pide información a los usuarios, a través de la pantalla de cuadros de diálogo, como su nombre, o les pide llenar encuestas.

* En algunos casos, las computadoras con este spyware instalado ya no funcionan correctamente después de un cierto período de tiempo, es necesario un reinicio forzado para esas Mac.

* Si un usuario elimina la aplicación original o protector de pantalla que instaló este spyware, el spyware en si seguirá instalado y seguirá funcionando.

Como puede verse arriba, esta aplicación que pretende recoger la información por razones de marketing hace mucho más, llegando al extremo de escanear todos los archivos en una Mac infectada. Los usuarios no tienen manera de saber exactamente qué datos se recopilan y se envían a servidores remotos, tales datos podrán incluir los nombres de usuario, contraseñas, números de tarjetas de crédito y mucho más. El riesgo de que estos datos sean recolectados y utilizados sin permiso de los usuarios hace a este spyware particularmente nocivo a la privacidad.

El hecho de que esta aplicación recopile los datos de esta manera, y de que abre una puerta trasera, hace que sea una amenaza muy seria para la seguridad. Además, el riesgo de que recolecte datos sensibles como nombres de usuario, contraseñas y números de tarjetas de crédito, hacen de este un software espía de muy alto riesgo. Si bien su distribución es limitada, se previene a los usuarios de Mac a prestar especial atención al software que descargan e instalan.