La distribución de más de siete mil variantes de este tipo de adware, que comenzó hace casi un año, sigue consiguiendo hacer picar a millones de internautas que pasan de media tres días para conseguir desinfectar sus equipos. En realidad, se trata de una acción para conseguir datos bancarios y estafar dinero, ya que tras el aviso de infección lleva al usuario a páginas de venta de falsos antivirus. Los autores de este malware pueden estar ganando más de 10 millones mensuales, ya que el 3% de los infectados realmente procede a la compra.
No es nuevo; no es original, pero lo cierto es que el número de las infecciones causadas por los falsos antivirus sigue creciendo a grandes velocidades. Sus autores no buscan otra cosa que el beneficio económico, y lo están consiguiendo. “Según los datos de infecciones que recibimos en PandaLabs” –comenta Luis Corrons, director técnico de PandaLabs-, “hay más de treinta millones de internautas infectados por esta nueva oleada de falsos antivirus. Por la información que tenemos, alrededor de un 3% de éstos acceden a dar sus datos personales y a comprar un producto para desinfectar su ordenador que nunca reciben. A una media de 49,95 €, podemos cifrar los beneficios de sus autores en más de diez millones de € mensuales”2.
Y todo ello, simplemente creando miles de variantes de un nuevo adware y distribuyéndolas a través de Internet. Los usuarios se infectan de diferentes formas: navegando por páginas con contenido adulto; bajándose ficheros de redes de intercambio peer-to-peer; accediendo a postales con dedicatoria que reciben por correos electrónicos; descarga de ficheros que aprovechan agujeros de seguridad, de forma que el usuario ni se entera, etc. Incluso, se han dado casos de ejemplares que manipulaban la página de inicio de Google (http://www.flickr.com/photos/panda_security/2909336058/).
El mecanismo de todas las variantes es el mismo: avisan al usuario que su PC está infectado, y comienzan a aparecer ventanas emergentes, fondos de escritorio y salvapantallas que realmente abruman al internauta y no le dejan hacer prácticamente nada. Estas prácticas buscan, sobre todo, asustarle, utilizando por ejemplo cucarachas que se comen el escritorio hasta que el usuario no tiene más remedio que hacer clic en el botón de compra, o bien simulan fallos de Windows con el típico pantallazo azul.
Los internautas más avezados se dan cuenta de que realmente se trata de una infección y buscan la solución. “La peor parte de estos falsos antivirus es que son muy difíciles de desinfectar. Los usuarios más avanzados pueden intentar hacerlo manualmente, técnica realmente difícil si no se sabe mucho de informática. En general, los usuarios tardan unos tres días en eliminar por completo esta amenaza”, añade Luis Corrons. “Por eso recomendamos que si su antivirus no lo ha detectado, se instalen uno de nueva generación, especialmente preparados para detectar, desinfectar y eliminar todo rastro de esta amenaza”.
Sin embargo, no todos los usuarios identifican el problema: los usuarios que llegan a las páginas de venta de los falsos antivirus, se encuentran realmente “clones” de los fabricantes originales. “Tenemos que reconocer que están bastante trabajadas las simulaciones de las páginas de los fabricantes, y no nos extraña que los usuarios acaben comprando, ya que llegan desesperados por poder trabajar con su equipo”.
En el proceso de compra, se solicitan los datos personales a los internautas. En la tarjeta de crédito pagan una media de 49,95 € por un antivirus que les va a ayudar a solucionar el problema, producto que nunca reciben. “Dado que las marcas que comercializan son conocidas, estos usuarios reclaman a la compañía, que no pueden hacer nada porque realmente nunca han adquirido sus licencias”.
Lo que todavía se desconoce es si con los datos bancarios de tantos usuarios se realizan acciones posteriores. Si fuera así, el descalabro económico para éstos puede ser todavía mayor
“Esta nueva técnica demuestra el ingenio de los ciberdelincuentes, que buscan nuevos caminos para sortear la crisis económica y seguir obteniendo beneficios”, finaliza Corrons.
Cibersur (15-10-2008)
