Malware para OS X: la evolución

¿Existe algún malware OS X específico para (Mac)?

Sí, existe. Pero por alguna extraña razón hace tiempo que no hablo de nada interesante relacionado con este tema…

La última vez fue hace dos años y medio. Sí, ese es el tiempo que ha pasado desde que el gusano Flashback atacó a 700.000 Macs en todo el mundo. La industria de la seguridad reaccionó y la botnet Flashback fue desactivada, pero desde entonces no se ha sabido nada más… Algunos podrían pensar que desde entonces la lucha de Mac contra el malware estaba ganada y que ni un solo bit de iMalware ha perturbado a Apple…

Pero estarían equivocados…

Mac malware is not amyth, they do exist

Claramente, las probabilidades de que un malware afecte a una plataforma u a otra son muy distintas, y Microsoft Windows es la plataforma más utilizada. No muy lejos estaría Android, relativamente nueva. Sí, en los últimos tres años los cibercriminales han estado bombardeando al pequeño robot verde e incrementando sus niveles de actividad maliciosa. Mientras tanto, en el mundo de los iPhones y los iPads, a excepción de algunos casos muy raros de ciberespionaje, apenas ha habido ataques que hayan tenido éxito (a pesar de que han utilizado métodos inusuales). Algo parecido sucede con los Macs – las cosas están muy tranquilas en comparación con otras plataformas; pero últimamente ha habido indicios de los que os hablaré en este post.

Veamos rápidamente una serie de cifras, a modo de pequeño resumen ejecutivo:

  • El número de nuevos casos de malware para Mac detectados en los últimos años ya ha llegado a miles.
  • En los primeros ocho meses de 2014, se detectaron 25 ‘familias’ distintas de malware para Mac;
  • La probabilidad de que un Mac desprotegido sea infectado por algún malware específico para Mac ha aumentado a cerca de un tres por ciento.
En 2013, @Kaspersky detectó él solo 1700 muestras de malware para OS X. Tweet

Ahora bien, si profundizas y observas las cosas desde dentro, desde el punto de vista de un experto en malware, el panorama es menos esperanzador…

Las amenazas a Mac han evolucionado, la percepción de la seguridad entre los usuarios de Mac ha cambiado (pero no demasiado), y la pregunta que se hacen es ¿qué vamos a encontrarnos en el futuro? Así que allá vamos, a analizar sin prejuicios, dejando de lado las emociones, usando números y siendo imparciales. Si eres imparcial y desapasionado en los comentarios – por favor, ¡sé mi invitado!

En primer lugar: informes primarios.

Por lo tanto, ¿qué ha pasado con las amenazas a los Mac en los últimos años? Voy a empezar con un gráfico donde se ve el número de archivos maliciosos para OS X que hemos descubierto en los últimos años.

Mac malware is not amyth, they do exist

Como se ve en el gráfico, hace cuatro años la cifra de archivos maliciosos era sólo de 50, pero en 2011 hay una subida y desde entonces los casos anuales se cuentan por cientos e incluso miles.

Entonces, ¿qué se está haciendo?

Los primeros ocho meses de este año se detectaron cerca de mil ataques únicos a Macs, agrupados en 25 tipos de familias. Vamos a dedicarle unas palabras a los más interesantes:

  • Puerta trasera: OSX.Callme – se difunde en el cuerpo de un documento de MS Word especialmente diseñado que cuando se lanza instala una puerta trasera en el sistema a través de una vulnerabilidad. Esto le da al atacante el acceso remoto al sistema. Al mismo tiempo, roba las listas de contactos, parece ser que para buscar nuevas víctimas.
  • Puerta trasera: OSX.Laoshu – hace capturas de pantalla una vez por minuto. Fue firmado con un certificado de confianza de los desarrolladores. Parece ser que sus creadores pensaban subirlo a la App Store.
  • Puerta trasera: OSX.Ventir – un troyano espía multi modular con control remoto oculto. Contiene un keylogger logkext de código abierto.
  • Troyano: OSX.IOSinfector – instalador de la versión móvil del troyano espía IPhoneOS.Mekir (OSX / Crisis) – sí, infecta iPhones.
  • Troyano-Ransom: OSX.FileCoder- el primer codificador de archivos de OS X. Aún se está desarrollando, es un prototipo lleno de fallos.
  • Troyano espía: .OSX.CoinStealer– el primer bitcoin malicioso que roba malwares para OS X. Se disfraza de código abierto con utilidades bitcoin. Lo que hace realmente es instalar una extensión maliciosa del navegador/o una versión parcheada de bitcoin-qt (una utilidad de código abierto para minar bitcoins).
Un #malware del que no has oído hablar para OS X (pero puede que tengas en tu ordenador Mac) Tweet

Llegados a este punto, un razonamiento lógico podría ser: vale, vale, hoy en día existen algunos programas maliciosos para Mac, pero ¿es realmente una amenaza significativa para los usuarios? ¿Cuántas probabilidades hay de que un Mac desprotegido sea infectado? Y ¿cuál es el programa malicioso más utilizado?

Gracias a KSN tenemos la respuesta. Pero primero, antes de analizar las cifras, una aclaración: estos datos proceden exclusivamente de los usuarios de nuestros productos. Tratar de averiguar cómo el malware se propaga a nivel mundial, incluso entre los usuarios de otros productos de seguridad y/o los que no tienen antivirus, es al mismo tiempo una tarea ingrata y muy minuciosa, basada en extrapolaciones de datos de diferentes fuentes. Sin embargo, aún vale la pena investigar los datos de KSN, aunque sólo sea para darnos algo de lo que hablar :).

Así pues, los 20 descubrimientos más importantes a nivel mundial de malware para OS X del año 2013-2014, son:

Nombre Número de detecciones %
AdWare.OSX.Geonei.b 56.271 39.15
Trojan.OSX.Vsrch.a 28.222 19.63
AdWare.OSX.Geonei.d 23.904 16.63
Trojan.OSX.Yontoo.i 7.595 5.28
AdWare.OSX.FkCodec.b 6.395 4.45
Trojan.OSX.Yontoo.h 3.636 2.53
Trojan.OSX.Yontoo.j 3.366 2.34
AdWare.OSX.Geonei.c 2.889 2.01
Trojan.OSX.Yontoo.a 2.079 1.45
AdWare.OSX.Geonei.e 1.758 1.22
Trojan.OSX.FakeCo.a 1.413 0.98
Trojan.OSX.Okaz.a 1.126 0.78
Trojan-Downloader.OSX.Vidsler.a 868 0.60
RemoteAdmin.OSX.AppleRDAdmin.c 677 0.47
AdWare.OSX.Bnodlero.a 656 0.46
Trojan.OSX.Yontoo.b 633 0.44
AdWare.OSX.FkCodec.a 609 0.42
Trojan-Downloader.OSX.FavDonw.c 571 0.40
AdWare.OSX.Geonei.a 544 0.38
Trojan.OSX.Yontoo.d 533 0.37

Y aquí tienes el mapa geográfico de los iMalware correspondientes al mismo periodo:

Mac malware is not amyth, they do exist

Ahora bien, si analizas detenidamente los datos anteriores, verás que casi la mitad de los malware descubiertos derivan de un adware, mientras que dos tercios de todos ellos, están compuestos sólo de los tres primeros programas maliciosos. En cuanto a la distribución geográfica del iMalware, coincide en general con la popularidad de los propios Macs, es decir, hay una mayor presencia en los países desarrollados, donde las víctimas potenciales tienen por norma más dinero. Por último, curiosamente, la famosa Flashback no aparece en el top-20.

¿Qué podemos deducir de estos datos?

En primer lugar: para los cibercriminales es más fácil conseguir dinero con ataques legales (o casi legales). La publicidad también les hace ganar dinero, y unida a virus de gran escala, mucho más.

Segundo: los creadores de virus OS X son una especie bastante rara pero sofisticada. A diferencia de lo que sucede con los virus de Windows, los virus OS X se han saltado la etapa infantil de ‘virus por diversión’ y han ido directamente a por malwares  – Mac OS –  adultos con lo que son mucho más graves. ¡Éstos son tipos duros amigos! Es probable que perfeccionaran sus habilidades en la plataforma Windows, y luego se pasaron a Mac para conquistar un nuevo territorio desconocido, en busca de nuevas posibilidades de ganar dinero. Después de todo, el dinero está ahí, y los usuarios no saben casi nada sobre seguridad, lo que significa que hay un montón de oportunidades  para aquellos hackers dispuestos a hacer el trabajo.

El nivel de sofisticación de un malware para OS X es mucho mayor que el del malware de Windows.

Tercero: los grupos profesionales de espionaje se han dedicado a la explotación del  OS X. En los últimos años, muchos ataques APT iban dirigidos a módulos Mac, por ejemplo, Careto, Icefog, y  contra activistas Uyghuer. Sí, estamos hablando de casos concretos – en vez de hacerlo de forma generalizada –  de ataques dirigidos a víctimas especialmente elegidas; por eso no aparecen en el top-20, pero no es que sean menos peligrosos,  especialmente si tus datos pueden ser interesantes para las agencias de inteligencia.

Ahora vamos a ver cuál es la relevancia de los datos que hemos visto previamente.

Desde luego, comparado con la situación de los desastres a escala masiva que se dan en el entorno de Windows, cien mil detecciones en 18 meses no parecen demasiado, y podrían  llevarnos a pensar que en realidad no es una gran amenaza. Bueno, no hay casi ninguna amenaza. Pero, ¿significa “no hay casi” que los usuarios de Apple pueden relajarse y confiar en los conocimientos de Apple sobre seguridad? En otras palabras, no preocuparse en absoluto sobre la protección. Sigue leyendo…

Para entenderpor qué hay paranoicos, lo cual no está mal, tenemos que volver a los datos de KSN. Es tiempo de tener en cuenta el nivel de infeccióno la relaciónentre el número deMacsprotegidos conel número de deteccionesúnicas demalware para Mac.

En el mes de agosto, las posibilidades de verse infectado eran de alrededor de 3%. No está mal comparado con el 21% de probabilidades que tienen los usuarios de Windows (en base a los datos de KSN). Aún así, esto se traduce en que un programa malicioso para Mac espía a un usuario activo de Internet 10 veces al año.

Ahora las cosas se vuelven incluso más interesantes…

Primero: los usuarios de Apple no están sólo en el punto de mira de las  piezas de malware dirigidas especialmente a los productos de esta marca. Algunos tipos de ataques no tienen en cuenta qué sistema operativo tiene un OS. Por ejemplo, los ataques phishing ataques man in the middle, que son amenazas, están muy extendidos. Están más interesados ​​en las cuentas bancarias de los usuarios, las claves que han utilizado para los servicios online y la actividad en las redes sociales.

Segundo: los Mac son objeto de amenazas de todo tipo,  que llegan a través de  fallos que tienen otros softwares; por ejemplo, Java, Flash o Silverlight. Estos programas no vienen por defecto instalados en un Mac, pero aún así muchos usuarios los descargan e instalan, para sacarle el máximo partido a la web.

Es difícil calcular la probabilidad que hay de que se produzca un ataque si tenemos en cuenta todos los softwares de terceros instalados. Pero creo que podemos afirmar que aumentaría considerablemente.

Los malware dirigidos específicamente a los Mac no son su único riesgo. También hay phishing, MitM y vulnerabilidades de terceras partes.Tweet

Tercero: esto no se trata realmente de las amenazas de los malware. El antivirus hace mucho tiempo que dejó de ser algo que estaba ahí y que de alguna manera nos salvaba de esto o aquello. Los antivirus modernos contienen muchas otras características útiles que van más allá del mero concepto de software. Por ejemplo, los controles parentales, los gestores de contraseña, controles de fiabilidad Wi-Fi, bloqueo de webcam, y cientos de funciones más. Es cierto que los productos de seguridad para Mac están muy detrás de los PC en términos de funcionalidad, pero poco a poco, y con paso firme, están poniéndose al día…

Y ahora vamos a adelantarnos al futuro…

Desde hace tiempo hay dos preguntas que todos se repiten constantemente: ¿por qué haytan pocomalware paraMac? Y esta otra ¿van a empeorar las cosas?

He repetido muchas veces que se tienen que dar tres condiciones para que exista un software malicioso en una plataforma determinada: (i) la plataforma tiene que tener una construcción insegura y por tanto vulnerable; (ii) tiene que estar bastante extendida; y (iii) tiene que tener herramientas que permitan el desarrollo de aplicaciones de terceros. OS X solo falla en la segunda condición (ii).

Seguro que los lectores se ríen de esto que acabo de decir. ¡Hay más de 80 millones de ordenadores Mac OS! Puede parecer una cifra elevada, pero resulta que hay 1,5 billones de ordenadores Windows.

Ya he escrito en el blog sobre los aspectos económicos del sector informático. Hay una regla básica que se aplica a todos los sistemas operativos, incluido OS X: no tiene sentido que los cibercriminales gasten sus recursos en sistemas operativos poco populares o complicados, cuando tienen decenas de millones de ordenadores Windows, algunos sin antivirus, la mayoría nunca actualizados y otros con antivirus libres y con fallos. Dicho de otra forma, es más fácil obtener beneficios con Windows. ¿Por qué esforzarse más (con OS X)?

Sobre lo que deberíamos estar investigando es acerca de dónde se encuentra la masa crítica, donde un “menor” número (por su cuota de mercado) de sistemas operativos OS X, pueden ser económicamente interesantes. Dije en su día que un 5-7% de los ordenadores de todo el mundo constituyen la masa crítica. Pero esa cifra resulta que es demasiado baja. Este año OS X ha llegado a casi un 10%. Aunque todavía no ha habido ningún cambio importante en lo que hacen los creadores de virus, sólo algunos indicios: torpes, reticentes y algunas versiones de prueba.

Operating systems worldwide market share installed base

Extrapolando esta tendencia, Apple podría tener en 3 años un 15% de la cuota de mercado. ¿Será ese el detonante de una rápida evolución en el desarrollo de iMalwares?

No lo sé. Para que se dé un incremento brusco, probablemente no. Pero un aumento, seguro que sí. ¿Alguien tiene una predicción al respecto?

Entonces, ¿qué va a pasar cuando la cuota de mercado de OS X finalmente alcance a ser una situación crítica?
Creo que en primer lugar habrá unas grandes epidemias, con un número significativo de víctimas y pérdidas económicas. Después habrá una reacción en cadena – los creadores de virus se copiarán unos a otros, viendo en lo factible y rentable que se ha convertido atacar OS X – y se cambiarán de forma masiva a la plataforma.

Otro posible escenario sería que, de repente, se pierda el control de las cosas debido a un ataque APT contra OS X; por ejemplo, una epidemia mundial causada por un bug de malware sin identificar o un fallo tecnológico en un ataque, su propagación por la comunidad informática clandestina, y la aparición de un montón de clones.

Es difícil estimar cuál es la verdadera situación en la que se encuentra la seguridad del Mac,porque la mayoría delos usuarios confían plenamente en la santidady la infalibilidadde sumarca favorita.Por tanto, se desconoce  loque pasa realmente en las decenasde millones deMacsque hay desprotegidos. Es parecido alaparte sumergidade un iceberg. A vecesesta parte(Titanic) trae consigo sorpresasinesperadasydesagradables, comoel gusanoFlashbackde marzo de 2012.

Pero ¿qué malware sigue ahí? ¿Qué está haciendo? ¿Y quién está moviendo los hilos de la marioneta? ¿Los cibercriminales habituales o gente escondida tras programadores que han sido contratados? Vamos a ir respondiendo poco a poco a todas estas preguntas tan interesantes. Pero necesitamos tu ayuda. No podemos salvarte a la fuerza. Así que protégete a ti mismo, da al menos el primer paso y ¡cambia tu actitud respecto a la protección del Mac!

Mientras tanto, aquí tienes algunos trucos muy sencillos sobre cómo mantener tu Mac limpio y protegido.

Tweet: Unos sencillos consejos para mantener tu Mac limpio y protegido

Esto es todo por el momento sobre la seguridad del Mac,pero hay que estar siempre atentos. Seguro que pronto hay más novedades en este frente,y cada vez más interesantes…

P.D.vaya, ¡sí que ha sido pronto!Lo que decía “pronto habrá más novedades y cada vez más interesantes” ha pasado antes de lo que esperaba…

Investigadores han encontrado una grave vulnerabilidad masiva en el código shell de Bash, que afecta a Linux, UNIX, y – has adivinado – a OS X. Se está trabajando con rapidez para parchearlos, pero de momento no se ha avanzado mucho. No olvidemos que Unix se ejecuta en muchos sistemas de control industrial y redes energéticas de todo el mundo. ¿Alguien se acuerda de Blaster? En aquel momento, Microsoft sacó al mercado un parche un mes antes de la catástrofe… y no exagero al hablar de catástrofe, – fue un apagón enorme en todo el este de EE.UU.

LEER COMENTARIOS 4
Comentarios 0 Deja una nota
Trackback 4

La evolución del malware en los Mac

Internautas brasileros y mexicanos, los más atacados por malware para Mac OS X en América Latina | IT Connect Latin American Chapter

Kaspersky Lab: internautas brasileros y mexicanos entre los más atacados por malware para Mac OS X en América Latina | Serperuano.com

Internautas mexicanos entre los más afectados por malware Mac OS X en América Latina | HardwareMX

Deja una nota