duotono noticias del mundo mac y más

Se ha descubierto un software malicioso llamado OpinionSpy que recopila datos personales.

Es una aplicación de software espía instalada por diversos programas y salvapantallas de Mac distribuidos de forma gratuita y que se encuentran en distintas webs. Este software espía, OSX/OpinionSpy, lleva a cabo una serie de acciones perjudiciales, desde explorar los archivos hasta grabar la actividad del usuario, además de enviar información sobre esta actividad a servidores remotos y crear un acceso a los Macs infectados.

Diversas aplicaciones y salvapantallas que se distribuyen de forma gratuita en sitios como MacUpdate, VersionTracker y Softpedia instalan OSX/OpinionSpy. El software espía en sí no está incluido en estas aplicaciones, pero se descarga durante el proceso de instalación. Esto muestra la necesidad de disponer de un programa actualizado contra “malware” o software malicioso, con un explorador en tiempo real capaz de detectarlo cuando el instalador de la aplicación original lo descargue.

La información que se facilita con algunas de estas aplicaciones contiene un texto engañoso que los usuarios deben aceptar, explicando que con ellas se instala un programa de “estudio de mercado”, aunque no todas lo especifican. Algunos de estos programas también se distribuyen directamente desde las webs de los desarrolladores sin que aparezca tal mensaje.

El “malware”, cuya versión para Windows existe desde 2008, afirma recoger información relativa a la navegación y a las compras para estudios de mercado. No obstante, este programa va mucho más allá, realizando distintas acciones engañosas que han obligado a Intego a clasificarlo como software espía.

OSX/OpinionSpy lleva a cabo las siguientes acciones:

•  Esta aplicación, que carece de interfaz, se ejecuta como “root” (solicita una contraseña de administrador al instalarse) con plenos privilegios para acceder y modificar cualquier archivo del equipo del usuario infectado.
• Si por alguna razón la aplicación se detiene, volverá a ejecutarse mediante launchd, la función de puesta en marcha de servicios a nivel de sistema.
• Crea un acceso HTTP utilizando el puerto 8254.
• Explora todos los volúmenes accesibles, analizando los archivos y consumiendo una gran cantidad de recursos del procesador. No está claro qué datos copia y envía a sus servidores, pero explora los archivos de los volúmenes locales y también de red, abriendo potencialmente un gran número de archivos confidenciales de la red a posibles intrusos.
• Explora los paquetes que entran y salen del Mac infectado por una red local, analizando los datos que llegan o se envían a otros equipos. Un Mac infectado puede, por tanto, recoger gran cantidad de datos de distintos equipos de una red local, por ejemplo, en una empresa o una escuela.
• Inyecta código, sin la intervención del usuario, en Safari, Firefox, iChat y copia datos personales desde estas aplicaciones. La inyección de código es una forma de conducta similar a la de un virus, y este software malicioso “infecta” las aplicaciones cuando están funcionando para poder llevar a cabo sus operaciones. (Infecta el código de las aplicaciones en la memoria del Mac y no los archivos en sí de las aplicaciones en el disco duro del usuario.)
• Envía con regularidad datos (codificados) a una serie de servidores utilizando los puertos 80 y 443. Envía a estos servidores datos acerca de archivos que ha explorado de forma local y también direcciones de correo electrónico, cabeceras de mensajes de iChat, direcciones URL y otros. Estos datos pueden incluir información personal, como nombres de usuario, contraseñas, números de tarjetas de crédito, marcadores de los navegadores, historiales y un largo etcétera.
• Dado el tipo de datos que recopila, la empresa que está detrás de este software espía puede almacenar registros detallados de los usuarios, sus costumbres, contactos, dónde están y mucha más información.
• La aplicación puede actualizarse automáticamente, añadiendo funciones nuevas, sin que el usuario intervenga ni tenga constancia. En ocasiones, solicita a los usuarios información, como su nombre, mostrando un cuadro de diálogo o les pide que rellenen algún tipo de encuesta.
• En algunos casos, los equipos con este software espía instalado dejan de funcionar correctamente al cabo de un tiempo; es preciso reiniciar a la fuerza estos Macs.
• Si un usuario borra la aplicación o el salvapantallas instalado originalmente, el software espía continuará instalado y en funcionamiento.

Como hemos visto, esta aplicación que simula recoger datos para estudios de mercado, en realidad hace muchas otras cosas, llegando incluso a explorar todos los archivos del Mac infectado. Los usuarios no pueden saber qué datos exactamente se recogen y se envían a servidores remotos, pero entre estos datos pueden figurar nombres de usuario, contraseñas, números de tarjetas de crédito, etc. El riesgo de que estos datos puedan obtenerse y utilizarse sin el permiso del usuario hace que este software espía resulte especialmente peligroso para la privacidad.

El hecho de que esta aplicación recoja datos de esta forma y cree un acceso al ordenador lo convierte en una amenaza muy seria para la seguridad. No sólo eso, sino que la posibilidad de que se recopilen datos confidenciales como nombres de usuario, contraseñas y números de tarjetas de crédito, hace que el riesgo que entraña este software espía sea muy elevado. Aunque su distribución sea limitada, alertamos a los usuarios de Mac para que tengan mucho cuidado con el software que descargan e instalan en sus máquinas