Evoluciona el Malware en Mac OS X

¿Existe algún malware OS X específico para (Mac)?

Sí, existe. Pero, por alguna extraña razón, hace tiempo que no hablo de este tema…

La última vez fue hace dos años y medio. Sí, ese es el tiempo que ha pasado desde que el gusano Flashback atacó a 700.000 Macs en todo el mundo. En aquel momento, la industria de la seguridad reaccionó y la botnet Flashback fue desactivada, pero desde entonces, no se ha sabido nada más… Algunos podrían pensar que la lucha de Mac contra el malware está ganada y que ni un solo bit de iMalware perturba a Apple…

Pero están equivocados…

wounded_apple-600x450Claramente, las probabilidades de que un malware afecte a una plataforma u a otra son muy distintas, y Microsoft Windows es la plataforma más utilizada. No muy lejos estaría Android, relativamente nueva. Sí, en los últimos tres años los cibercriminales han estado bombardeando al pequeño robot verde e incrementando sus niveles de actividad maliciosa. Mientras tanto, en el mundo de los iPhones y los iPads, a excepción de algunos casos muy raros de ciberespionaje, apenas ha habido ataques que hayan tenido éxito (a pesar de que han utilizado métodos inusuales). Algo parecido sucede con los Macs – las cosas están muy tranquilas en comparación con otras plataformas; pero últimamente ha habido indicios de crecimiento en los ataques malware en Apple y de eso les hablaré en este post.

Veamos rápidamente una serie de cifras, a modo de resumen ejecutivo:

  • El número de nuevos casos de malware para Mac detectados en los últimos años ya ha llegado a miles.
  • En los primeros ocho meses de 2014, se detectaron 25 ‘familias’ distintas de malware para Mac;
  • La probabilidad de que un Mac desprotegido sea infectado por algún malware específico para Mac ha aumentado a cerca de un tres por ciento.

Ahora bien, si profundizas y observas las cosas desde dentro, desde el punto de vista de un experto en malware, el panorama es menos esperanzador…

Las amenazas a Mac han evolucionado, la percepción de la seguridad entre los usuarios de Mac ha cambiado (pero no demasiado), y la pregunta que se hacen es ¿qué vamos a encontrarnos en el futuro? Así que allá vamos, a analizar sin prejuicios, dejando de lado las emociones, usando números y siendo imparciales. Si eres imparcial y desapasionado en los comentarios – por favor, ¡sé mi invitado!

En primer lugar: informes primarios.

¿Qué ha pasado con las amenazas a Mac en los últimos años? Voy a empezar con un gráfico donde se ve el número de archivos maliciosos que hemos descubierto en OS X en el último tiempo.

macosx_en-600x362

Como se ve en el gráfico, hace cuatro años la cifra de archivos maliciosos era sólo de 50, pero en 2011 hay una subida abrupta y, desde entonces, los casos anuales se cuentan por cientos e incluso miles.

Entonces, ¿qué se está haciendo?

En los primeros ocho meses de 2014, se detectaron cerca de mil ataques únicos dirigidos a Mac, agrupados en 25 tipos de familias de malware distintas. Vamos a dedicarle unas palabras a las más interesantes:

  • Puerta trasera: OSX.Callme – se difunde en el cuerpo de un documento de MS Word especialmente diseñado que, cuando se lanza, ésta instala una puerta trasera en el sistema a través de una vulnerabilidad. Esto le da al atacante el acceso remoto al sistema, al tiempo que roba las listas de contactos para buscar nuevas víctimas.
  • Puerta trasera: OSX.Laoshu – hace capturas de pantalla una vez por minuto. Fue firmado con un certificado de confianza de los desarrolladores. Parece ser que sus creadores pensaban subirlo a la App Store.
  • Puerta trasera: OSX.Ventir – un troyano espía multi modular con control remoto oculto. Contiene un keylogger logkext de código abierto.
  • Troyano: OSX.IOSinfector – instalador de la versión móvil del troyano espía IPhoneOS.Mekir (OSX / Crisis) – sí, infecta iPhones.
  • Troyano-Ransom: OSX.FileCoder- el primer codificador de archivos de OS X. Aún se está desarrollando, es un prototipo lleno de fallos.
  • Troyano espía: .OSX.CoinStealer– el primer bitcoin malicioso que roba malwares para OS X. Se disfraza de código abierto con utilidades bitcoin. Lo que hace realmente es instalar una extensión maliciosa del navegador/o una versión parcheada de bitcoin-qt (una utilidad de código abierto para minar bitcoins).

Un #malware del que nunca has oído hablar en OS X (pero puede que tengas en tu Mac)Tweet

Llegados a este punto, un razonamiento lógico podría ser: bueno, hoy en día existen algunos programas maliciosos para Mac, pero ¿es realmente una amenaza significativa para los usuarios? ¿Cuántas probabilidades hay de que una Mac desprotegida sea infectada? Y ¿cuál es el programa malicioso más utilizado?

Gracias a KSN tenemos la respuesta. Pero primero, antes de analizar las cifras, una aclaración: estos datos proceden exclusivamente de los usuarios de nuestros productos. Tratar de averiguar cómo el malware se propaga a nivel mundial, incluso entre los usuarios de otros productos de seguridad y/o los que no tienen antivirus, es al mismo tiempo una tarea ingrata y muy minuciosa, basada en extrapolaciones de datos de diferentes fuentes. Sin embargo, aún vale la pena investigar los datos de KSN, aunque sólo sea para darnos algo de lo que hablar :).

Así pues, los 20 descubrimientos más importantes a nivel mundial de malware para OS X del año 2013-2014, son:

Nombre Número de detecciones %
AdWare.OSX.Geonei.b 56.271 39.15
Trojan.OSX.Vsrch.a 28.222 19.63
AdWare.OSX.Geonei.d 23.904 16.63
Trojan.OSX.Yontoo.i 7.595 5.28
AdWare.OSX.FkCodec.b 6.395 4.45
Trojan.OSX.Yontoo.h 3.636 2.53
Trojan.OSX.Yontoo.j 3.366 2.34
AdWare.OSX.Geonei.c 2.889 2.01
Trojan.OSX.Yontoo.a 2.079 1.45
AdWare.OSX.Geonei.e 1.758 1.22
Trojan.OSX.FakeCo.a 1.413 0.98
Trojan.OSX.Okaz.a 1.126 0.78
Trojan-Downloader.OSX.Vidsler.a 868 0.60
RemoteAdmin.OSX.AppleRDAdmin.c 677 0.47
AdWare.OSX.Bnodlero.a 656 0.46
Trojan.OSX.Yontoo.b 633 0.44
AdWare.OSX.FkCodec.a 609 0.42
Trojan-Downloader.OSX.FavDonw.c 571 0.40
AdWare.OSX.Geonei.a 544 0.38
Trojan.OSX.Yontoo.d 533 0.37

Y aquí tienes el mapa geográfico de los iMalware correspondientes al mismo periodo:

macosxmap-600x321

Ahora bien, si analizas detenidamente los datos anteriores, verás que casi la mitad de los malware descubiertos derivan de un adware, mientras que dos tercios de todos ellos, están compuestos sólo de los tres primeros programas maliciosos. En cuanto a la distribución geográfica del iMalware, coincide en general con la popularidad de las propias Macs, es decir, hay una mayor presencia en los países desarrollados, donde las víctimas potenciales tienen por norma más dinero. Por último, curiosamente, la famosa Flashback no aparece en el top-20.

¿Qué podemos deducir de estos datos?

En primer lugar: para los cibercriminales es más fácil conseguir dinero con ataques legales (o casi legales). La publicidad también les hace ganar dinero, y unida a virus de gran escala, mucho más.

Segundo: los creadores de virus OS X son una especie rara, pero muy sofisticada. A diferencia de lo que sucede con los virus de Windows, los virus OS X se han saltado la etapa infantil de ‘virus por diversión’ y han ido directamente a por malwares  – Mac OS –  adultos. Lo cual es mucho más grave. ¡Éstos son tipos duros amigos! Es probable que perfeccionaran sus habilidades en la plataforma Windows, y luego se pasaron a Mac para conquistar un nuevo territorio desconocido, en busca de nuevas posibilidades de ganar dinero. Después de todo, el dinero está ahí, y los usuarios no saben casi nada sobre seguridad, lo que significa que hay un montón de oportunidades  para aquellos hackers dispuestos a hacer el trabajo.

El nivel de sofisticación de un malware para OS X es mucho mayor que el del malware de Windows.

Tercero: los grupos profesionales de espionaje se han dedicado a la explotación del  OS X. En los últimos años, muchos ataques APT están dirigidos a módulos Mac, por ejemplo, CaretoIcefog, y  contra activistas Uyghuer. Sí, estamos hablando de casos concretos – en vez de hacerlo de forma generalizada –  de ataques dirigidos a víctimas especialmente elegidas; por eso no aparecen en el top-20, pero no es que sean menos peligrosos,  especialmente si tus datos pueden ser interesantes para las agencias de inteligencia.

Ahora vamos a ver cuál es la relevancia de los datos que hemos visto previamente.

Desde luego, comparado con la situación de los desastres a escala masiva que se dan en el entorno de Windows, cien mil detecciones en 18 meses no parecen demasiado, y podrían  llevarnos a pensar que en realidad no es una gran amenaza. Bueno, casi no hay no hay ninguna amenaza. Pero, ¿”casi no hay” significa que los usuarios de Apple pueden relajarse y confiar en los conocimientos de Apple sobre seguridad? En otras palabras, ¿no preocuparse en absoluto sobre la protección?. Sigue leyendo…

Para entenderpor qué hay paranoicos, lo cual no está mal, tenemos que volver a los datos de KSN. Es tiempo de tener en cuenta el nivel de infección y la relación entre el número de Macs protegidas con el número de detecciones únicas de malware en Mac.

En el mes de agosto, las posibilidades de verse infectado eran de alrededor de 3%. Que no está mal si se lo compara con el 21% de probabilidades que tienen los usuarios de Windows (en base a los datos de KSN). Aún así, esto se traduce en que un programa malicioso para Mac espía a un usuario activo de Internet 10 veces al año.

Ahora las cosas se vuelven incluso más interesantes…

Primero: los usuarios de Apple no están sólo en el punto de mira de las  piezas de malware dirigidas especialmente a los productos de esta marca. Algunos tipos de ataques no tienen en cuenta qué sistema operativo se tiene. Por ejemplo, los ataques phishing, ataques man in the middle, que son amenazas que están muy extendidas. Están más interesados ​​en las cuentas bancarias de los usuarios, las claves que utilizadan para los servicios online y la actividad en las redes sociales.

Segundo: los Mac son objeto de amenazas de todo tipo, que llegan a través de fallas que tienen otros softwares; por ejemplo, Java, Flash o Silverlight. Estos programas no vienen por defecto instalados en un Mac, pero aún así muchos usuarios los descargan e instalan, para sacarle el máximo partido a la web.

Es difícil calcular la probabilidad que hay de que se produzca un ataque si tenemos en cuenta todos los softwares de terceros instalados. Pero creo que podemos afirmar que aumentaría considerablemente.

Los malware dirigidos específicamente a las Mac no son su único riesgo. También hay phishing, MitM y vulnerabilidades de tercerosTweet

Tercero: esto no se trata realmente de las amenazas de los malware. El antivirus hace mucho tiempo que dejó de ser algo que estaba ahí y que de alguna manera nos salvaba de esto o aquello. Los antivirus modernos contienen muchas otras características útiles que van más allá del mero concepto de software. Por ejemplo, los controles parentales, los gestores de contraseña, controles de fiabilidad Wi-Fi, bloqueo de webcam, y cientos de funciones más. Es cierto que los productos de seguridad para Mac están muy detrás de los PC en términos de funcionalidad, pero poco a poco, y con paso firme, están poniéndose al día…

Y ahora vamos a adelantarnos al futuro…

Desde hace tiempo, hay dos preguntas que todos se repiten constantemente: ¿por qué haytan poco malware en Mac? Y esta otra ¿van a empeorar las cosas?

He repetido muchas veces que se tienen que dar tres condiciones para que exista un software malicioso en una plataforma determinada: (i) la plataforma tiene que tener una construcción insegura y por tanto vulnerable; (ii) tiene que estar bastante extendida; y (iii) tiene que tener herramientas que permitan el desarrollo de aplicaciones de terceros. OS X solo falla en la segunda condición (ii).

Seguro que los lectores se ríen de esto que acabo de decir. ¡Hay más de 80 millones de ordenadores Mac OS! Puede parecer una cifra elevada, pero resulta que hay 1,5 billones de ordenadores Windows.

Ya he escrito en el blog sobre los aspectos económicos del sector informático. Hay una regla básica que se aplica a todos los sistemas operativos, incluido OS X: no tiene sentido que los cibercriminales gasten sus recursos en sistemas operativos poco populares o complicados, cuando tienen decenas de millones de ordenadores Windows, algunos sin antivirus, la mayoría nunca actualizados y otros con antivirus libres y con fallos. Dicho de otra forma, es más fácil obtener beneficios con Windows. ¿Por qué esforzarse más (con OS X)?

Sobre lo que deberíamos estar investigando es acerca de dónde se encuentra la masa crítica, donde un “menor” número (por su cuota de mercado) de sistemas operativos OS X, pueden ser económicamente interesantes. Dije en su día que un 5-7% de los ordenadores de todo el mundo constituyen la masa crítica. Pero esa cifra resulta que es demasiado baja. Este año OS X ha llegado a casi un 10%. Aunque todavía no ha habido ningún cambio importante en lo que hacen los creadores de virus, sólo algunos indicios: torpes, reticentes y algunas versiones de prueba.

macosxos-600x293

Extrapolando esta tendencia, Apple podría tener en 3 años un 15% de la cuota de mercado. ¿Será ese el detonante de una rápida evolución en el desarrollo de iMalwares?

No lo sé. Para que se dé un incremento brusco, probablemente no. Pero un aumento, seguro que sí. ¿Alguien tiene una predicción al respecto?

Entonces, ¿qué va a pasar cuando la cuota de mercado de OS X finalmente alcance a ser una situación crítica?
Creo que en primer lugar habrá unas grandes epidemias, con un número significativo de víctimas y pérdidas económicas. Después habrá una reacción en cadena – los creadores de virus se copiarán unos a otros, viendo en lo factible y rentable que se ha convertido atacar OS X – y se cambiarán de forma masiva a la plataforma.

Otro posible escenario sería que, de repente, se pierda el control de las cosas debido a un ataque APT contra OS X; por ejemplo, una epidemia mundial causada por un bug de malware sin identificar o un fallo tecnológico en un ataque, su propagación por la comunidad informática clandestina, y la aparición de un montón de clones.

Es difícil estimar cuál es la verdadera situación en la que se encuentra la seguridad del Mac,porque la mayoría de los usuarios confía plenamente en la santidad y la infalibilidad de su marca favorita.Por tanto, se desconoce lo que pasa realmente en las decenas de millones de Macs que hay desprotegidas. Es parecido a la parte sumergida de un iceberg. A veces, esta parte (Titanic) trae consigo sorpresas inesperadas y desagradables, como el gusano Flashback de marzo de 2012.

Pero ¿qué malware sigue ahí? ¿Qué está haciendo? ¿Y quién está moviendo los hilos de la marioneta? ¿Los cibercriminales habituales o gente escondida tras programadores que han sido contratados? Vamos a ir respondiendo poco a poco a todas estas preguntas tan interesantes. Pero necesitamos tu ayuda. No podemos salvarte a la fuerza. Así que protégete a ti mismo, da al menos el primer paso y ¡cambia tu actitud respecto a la protección de tu Mac!

Mientras tanto, aquí tienes algunos trucos muy sencillos sobre cómo mantener tu Mac limpio y protegido.

Consejos para mantener tu Mac limpio y protegidoTweet

Esto es todo por el momento sobre la seguridad del Mac,pero hay que estar siempre atentos. Seguro que pronto hay más novedades en este frente,y cada vez más interesantes…

P.D.vaya, ¡sí que ha sido pronto! Lo que decía “pronto habrá más novedades y cada vez más interesantes” ha pasado antes de lo que esperaba…

Investigadores han encontrado una grave vulnerabilidad masiva en el código shell de Bash, que afecta a Linux, UNIX, y – has adivinado – a OS X. Se está trabajando con rapidez para parchearlos, pero de momento no se ha avanzado mucho. No olvidemos que Unix se ejecuta en muchos sistemas de control industrial y redes energéticas de todo el mundo. ¿Alguien se acuerda de Blaster? En aquel momento, Microsoft sacó al mercado un parche un mes antes de la catástrofe… y no exagero al hablar de catástrofe, – fue un apagón enorme en todo el este de EE.UU.

LEER COMENTARIOS 1
Comentarios 1 Deja una nota

    Nomasvirus

    La verdad es que cada vez se ven mas Mac con navegadores infectados de publicidad. Está claro que ya no es lo que era.

Deja una nota