Un instalador de publicidad para Mac OS X difunde un troyano

22 de junio de 2015

La información sobre la difusión de los nuevos programas nocivos y potencialmente peligrosos para el sistema operativo Mac OS X últimamente aparece con más frecuencia. Los analistas de virus de la empresa Doctor Web destacan el crecimiento del número de varias aplicaciones de publicidad e instaladores para los equipos Apple — lo que también está vinculado a la aparición de los nuevos programas de socios, así mismo, destinados para usuarios de Mac OS X. Un programa semejante fue detectado difundiendo los troyanos de familia Trojan.Crossrider.

El instalador de aplicaciones de publicidad y no deseadas añadido a las bases de virus Dr.Web bajo el nombre de Adware.Mac.MacInst.1 fue creado usando los recursos del programa socio para monetizar las aplicaciones macdownloadpro.com. Los sitios web de múltiples «socios» de este sistema normalmente están llenos de publicidad, abren automáticamente las pestañas adicionales, y se ofrece a los visitantes descargar el instalador mismo como si fuera alguna aplicación «útil» o hasta un archivo MP3 de música. En algunos casos el instalador se realiza usando la redirección automática del usuario a la página web correspondiente.

La imagen del instalador Adware.Mac.MacInst.1 tiene una estructura muy peculiar: contiene dos carpetas ocultas que no se desmontarán en el equipo con configuración estándar del sistema operativo si el usuario decide ver el contenido del archivo DMG en el programa Finder.

El mismo directorio de ubicación de la aplicación contiene un archivo binario que ejecuta el programa instalador y una carpeta donde está la imagen con logotipo de esta aplicación y el archivo de configuración cifrado. El instalador mismo visualiza en la pantalla del equipo una ventana correspondiente donde primero se visualiza la información sobre el archivo solicitado por el usuario que el mismo tenía previsto descargar anteriormente.

Al pulsar el botón «Next», el instalador visualiza una oferta del socio que supone que además del archivo requerido el programa instalará también algunos componentes adicionales.

Si el usuario pulsa un enlace «Decline» apenas visible en la parte inferior de la ventana, en su equipo se descargará solo el archivo anteriormente seleccionado, pero, al pulsar el botón «Next», junto con el mismo el programa descargará de Internet e iniciará otro programa detectado por el Antivirus Dr.Web como Trojan.Vindinstaller.3.

Esta aplicación, a su vez, instala en el equipo los complementos nocivos para los navegadores Safari, Firefox y Chrome, detectados como troyanos de la familia Trojan.Crossrider. Todos los componentes descargados de Internet, Adware.Mac.MacInst.1 Adware.Mac.MacInst.1 los copia a la carpeta "~/Library/Application Support/osxDownloader".

La firmas de todos los programas nocivos mencionados ya están en las bases del Antivirus Dr.Web para Mac OS X,por lo tanto, el mismo no supone peligro para los usuarios de este producto.

Más información sobre la amenaza