En contra de la idea generalizada existente entre los usuarios, los virus constituyen hoy en día una amenaza real para Mac. En el primer semestre de 2011 se registró un 300% de crecimiento en el número de intentos de infectar Mac OS con falsos programas antivirus rogue.

A mediados de octubre, se descubrió una nueva versión del troyano para Mac OS X Flashfake, Trojan-Downloader.OSX.Flashfake.d. La principal función del programa malicioso -descargar ficheros- sigue siendo la misma. Y también sigue disfrazándose de fichero de instalación de Adobe Flash Player. Pero se ha agregado una nueva funcionalidad para OSX.

Hace dos años la compañía Apple añadió a Mac OS X un sistema de protección contra programas maliciosos, denominado Xprotect. Se trata de un simple escáner de firmas que comprueba cada día la presencia de actualizaciones de las bases de programas maliciosos. Trojan-Downloader.OSX.Flashfake.d puede dejar fuera de servicio Xprotect, al "romper" sus ficheros principales. Una vez hecho, la protección no puede recibir actualizaciones de la compañía Apple, con lo que la efectividad de Xprotect es nula. El que sea posible deshabilitar la protección integrada se debe a que este mecanismo simplemente no lo habían previsto los programadores.

De esta manera, el fichero malicioso Trojan-Downloader.OSX.Flashfake.d, una vez activado en el ordenador, no sólo se protege de ser eliminado, sino que también hace que el sistema sea vulnerable para otros programas maliciosos que la protección integrada debería detectar. Esto hace que el troyano sea más peligroso que el resto de malware para OSX

Crecimiento del malware para OSX en 2011

Los especialistas de Kaspersky Lab afirman que la aparición de nuevos programas maliciosos para Mac OS X está relacionada con la creciente popularidad de los ordenadores Apple. Por desgracia, los usuarios de Mac OS X no prestan mucha atención a la seguridad y son pocos los ordenadores que cuentan con un antivirus. Al mismo tiempo, los mecanismos integrados de protección ya están obsoletos. Por eso, los ordenadores Apple son una presa fácil para los creadores de virus.

Amenazas móviles

En octubre ha habido un cambio importante en el mundo de las amenazas móviles. Según las estadísticas de Kaspersky Lab, el número total de malware para Android ha superado al de J2ME alcanzando el 46,9% (en agosto era del 24%). Sin embargo, el crecimiento tan rápido y significativo de la cantidad de malware para Android es un nuevo indicio de que en el futuro próximo los escritores de virus se centrarán en este sistema operativo.

A finales de octubre, los expertos de Kaspersky Lab descubrieron 1.916 variantes de programas maliciosos para Android, que pertenecen a 92 familias. En lo que concierne a la plataforma J2ME, se descubrieron 1.610 variantes en 60 familias. Si hablamos de la correlación entre las modificaciones descubiertas para todas las plataformas móviles, la situación es la siguiente:

Duqu, una nueva reencarnación de Stuxnet

Sin lugar a duda, en octubre el suceso más importante para la industria antivirus ha sido la noticia del descubrimiento del programa troyano Duqu, afirman los especialistas de Kaspersky Lab. El análisis llevado a cabo por los expertos del laboratorio Crysys puso al descubierto varias similitudes del código del troyano con el del gusano Stuxnet, que es el primer ejemplar conocido de "armamento cibernético". La similitud entre ambos programas maliciosos es tan clara que puede ser un indicio de que, o bien detrás de ambos está el mismo grupo de personas, o de que los creadores de Duqu usaron el código fuente de Stuxnet.

Los ficheros de Duqu, descubiertos en Hungría durante la investigación del primer incidente, contenían un módulo adicional: un troyano-espía. Este módulo tiene la capacidad de interceptar los datos que introducimos mediante el teclado, hacer capturas de pantalla, recopilar información sobre el sistema, etc. Más adelante, los datos robados pudieron enviarse al servidor de administración del troyano, que en ese momento estaba en India. El objetivo de hacer espionaje industrial, y no sabotaje (como en el caso de Stuxnet), hizo que surgiera una gran cantidad de preguntas sobre el verdadero objetivo de Duqu.

Durante la investigación, los expertos de Kaspersky Lab no sólo lograron descubrir nuevas víctimas de Duqu, sobre todo en Irán, sino también encontrar nuevos ficheros de Duqu que no se conocían antes. Esto confirma nuestra suposición de que los creadores de Duqu continúan su operación y los objetivos de sus ataques precisos (a diferencia de las infecciones masivas de Stuxnet) son blancos muy seleccionados.