PDF de programación - El Negocio de los falsos antivirus

El Negocio de los
Falsos Antivirus



Análisis del Nuevo Estilo de Fraude Online

PandaLabs – Julio 2009

Sean Paul Correll -Luis Corrons



El negocio de los falsos antivirus
Análisis del Nuevo Estilo de Fraude Online
Julio 2009



Historia de la proliferación del malware

Rogueware



-

Los efectos de los falsos antivirus



4

7

7

- Evolución de los falsos antivirus desde el año 2008 al 2º trimestre de 2009, y predicciones

para el futuro



Infecciones por falsos antivirus en el primer semestre de 2009

-

-

Implicaciones económicas



- Una mirada al negocio del rogueware

- Sistema de afiliados



- ¿De dónde proviene todo esto?

- Distribución del rogueware



9

11

12

13

14

17

18

18

22

23



-

Los 5 ataques más importantes a medios sociales

Conclusión

Autores



© Panda Security 2009

Pág 2

El negocio de los falsos antivirus
Análisis del Nuevo Estilo de Fraude Online
Julio 2009

Resumen ejecutivo

La proliferación del malware se ha extendido en los últimos años y el número de amenazas ha
alcanzado proporciones asombrosas. Por desgracia, el crimen informático se ha convertido en un
peligro oculto dentro de nuestra sociedad, y detrás de esta tendencia creciente se encuentra un
tipo de malware llamado ‘rogueware’ o falsos antivirus: una variedad mucho más omnipresente y
peligrosa que las amenazas anteriormente observadas por los investigadores de seguridad. El
rogueware consiste en falsas soluciones de software diseñadas para robar dinero a los usuarios
de ordenadores, cobrándoles por eliminar amenazas que en realidad no existen.

A finales del año 2008 PandaLabs detectó casi 55.000 ejemplares de rogueware. El objetivo de
este estudio es investigar la economía creciente de los falsos antivirus, su asombrosa proliferación
y los efectos que han tenido hasta ahora.

El estudio ha tenido resultados sorprendentes:

• Estimamos que para finales del 3er trimestre de 2009 detectaremos más de 637.000

nuevos ejemplares de rogueware (un incremento de diez veces en menos de un año).

• El rogueware infecta aproximadamente 35 millones de nuevos ordenadores cada mes

(alrededor de un 3,50 por ciento de todos los ordenadores).

• Los ciber-delicuentes están ganando unos 34 millones de dólares al mes gracias a los

ataques de rogueware.



© Panda Security 2009

Pág 3

El negocio de los falsos antivirus
Análisis del Nuevo Estilo de Fraude Online
Julio 2009

Historia de la proliferación del malware

En los últimos años, el malware ha crecido muy velozmente tanto en volumen como en
sofisticación. La gráfica inferior muestra la situación del malware entre los años 2003 y 2006, un
período de tiempo en el que la cantidad de ejemplares en circulación se duplicaba cada año:



Hace aproximadamente cinco años sólo existían 92.000 ejemplares, mientras que a finales del
2008 había unos 15 millones. Al finalizar este estudio en julio del 2009, PandaLabs había
detectado más de 30 millones de ejemplares de malware.



El motivo de este espectacular aumento está claro: el dinero. El año 2003 supuso el nacimiento de
los troyanos bancarios. Desde entonces, estos códigos maliciosos, diseñados para robar las
credenciales de acceso a servicios de banca online, se han convertido en la actualidad en una de
las formas más habituales de malware. Cada día salen a la luz nuevas variantes que han
evolucionado tecnológicamente para esquivar las medidas de seguridad de los bancos. Varias
organizaciones, como el Anti-Phishing Working Group (www.antiphishing.org) han intentado unir a
los diversos miembros de la industria de seguridad informática para contrarrestar los esfuerzos de
los ciber-criminales. Sin embargo, se trata de una batalla larga y dura, y ni siquiera está claro si
podremos ganarla alguna vez.

© Panda Security 2009

Pág 4

El negocio de los falsos antivirus
Análisis del Nuevo Estilo de Fraude Online
Julio 2009



En general, el motivo de que se creen más troyanos, keyloggers y bots que ningún otro tipo de
malware es porque resultan los más útiles para el robo de identidad. En el año 2005, casi la mitad
de los nuevos códigos maliciosos eran troyanos:



En la actualidad, en el segundo trimestre de 2009, la situación es mucho peor, ya que los troyanos
suponen el 71 por ciento del nuevo malware:



Al igual que en cualquier otro negocio, los delincuentes informáticos buscan operar de la forma
más eficaz posible. A la hora de desarrollar un troyano, deben decidir qué plataformas soportará y
el número de victimas potenciales. Windows es la plataforma atacada en más del 99 por ciento de
los casos, siendo también la que más usuarios tiene hasta la fecha.

© Panda Security 2009

Pág 5

El negocio de los falsos antivirus
Análisis del Nuevo Estilo de Fraude Online
Julio 2009

El objetivo final de los delincuentes es obtener beneficio económico del malware. Los troyanos
resultan la herramienta perfecta para robar información. Sin embargo, dicha información debe
convertirse en dinero contante y sonante, y los criminales deben buscar métodos innovadores para
conseguirlo.

Aquí es donde entran los falsos antivirus. Estas aplicaciones se hacen pasar por soluciones
antivirus que detectan cientos de amenazas en los ordenadores de sus víctimas. Sin embargo,
cuando los usuarios tratan de eliminar dichas amenazas utilizando la aplicación, se les pide que
compren la correspondiente licencia. A menudo, los usuarios, preocupados por la supuesta
infección, acaban adquiriendo la licencia. Una vez pagan la licencia, no vuelven a saber nada más
del supuesto “vendedor” y siguen teniendo el falso antivirus en su ordenador.

A pesar de que estas aplicaciones llevan ya varios años en circulación, no fue hasta principios del
año 2008 que comenzaron a ser empleadas de forma masiva.

© Panda Security 2009

Pág 6

El negocio de los falsos antivirus
Análisis del Nuevo Estilo de Fraude Online
Julio 2009

Rogueware

Los efectos de los falsos antivirus
Síntomas del rogueware

Además de quedarse con el dinero de los consumidores y ofrecer justamente lo contrario a
proteger la seguridad, muchos falsos antivirus comparten las siguientes características:

- Muestran falsos avisos emergentes, lanzan mensajes desde la barra de tareas y modifican

el salvapantallas y el escritorio

- Su diseño es parecido al de un antivirus real
- Completan un análisis del sistema con gran rapidez
-
-

Las “infecciones” detectadas hacen referencia a distintos archivos en cada análisis.


Por otro lado, los falsos antivirus modifican el sistema operativo para evitar que se eliminen los
falsos avisos que muestran. Estas acciones incluyen ocultar las pestañas Escritorio y Protector de
pantalla de la sección Pantalla del Panel de Control del ordenador. Esto impide a los usuarios
restaurar su fondo de escritorio y su salvapantallas. El objetivo de estas técnicas es acabar con la
paciencia de los usuarios para que finalmente registren el producto y paguen la cuota
correspondiente.

A continuación se muestran varios ejemplos de rogueware y las plataformas de pago a las que
redirigen a los usuarios cuando intentan “desinfectar” sus sistemas:



© Panda Security 2009

Pág 7

El negocio de los falsos antivirus
Análisis del Nuevo Estilo de Fraude Online
Julio 2009



Los delincuentes ya no necesitan robar información a los usuarios para ganar dinero; simplemente
hacer que los usuarios se desprendan voluntariamente del mismo. Tal y como se muestra
anteriormente, la interfaz de los falsos antivirus está diseñada muy cuidadosamente y resulta
extremadamente convincente, lo que indica que los criminales están invirtiendo mucho dinero y
esfuerzo en desarrollar y distribuir estos programas. Además, utilizan técnicas agresivas para
asustar a los usuarios y hacer que compren la licencia.



© Panda Security 2009

Pág 8

El negocio de los falsos antivirus
Análisis del Nuevo Estilo de Fraude Online
Julio 2009

Evolución de los falsos antivirus desde el año 2008 al 2º trimestre de 2009, y
predicciones para el futuro


Los falsos antivirus están experimentando un crecimiento exponencial. En el 2º trimestre del año
2008 PandaLabs creó un equipo especializado en la detección y eliminación de este tipo de
malware. La gráfica que aparece a continuación muestra el crecimiento de los falsos antivirus
durante el año 2008:



El número de ejemplares creció de forma exponencial, y la evolución de los mismos durante el año
2009 muestra una curva de crecimiento aún mayor:



© Panda Security 2009

Pág 9

El negocio de los falsos antivirus
Análisis del Nuevo Estilo de Fraude Online
Julio 2009

Solamente en el 1er trimestre de 2009 se crearon más ejemplares que durante todo el año 2008. El
2º trimestre fue aún peor, ya que surgieron cuatro veces más ejemplares que en el año 2008.
PandaLabs calcula que en el 3er trimestre de este año el número total de ejemplares de malware
superará la cifra surgida en los 18 meses anteriores.

El motivo principal para la creación de tantas variantes es evitar la de