
Casi 5 años después de que apareciera por primera vez este software espía,
OpinionSpy vuelve a infectar ordenadores Mac. La
gente de Intego lo ha anunciado la semana pasada. La vía de infección suele ser la instalación de aplicaciones y protectores de pantalla de aspecto inocente, descargados por ejemplo de sitios como
MacUpdate o
VersionTracker. Una vez comprometido el equipo, se podrían producir pérdidas de datos y abrir una
backdoor para un nuevo abuso sobre el sistema. La nueva variante de
OpinionSpy fue descubierta en un instalador de una aplicación que provenía desde el sitio
Download.com de
CNET.
Los investigadores de
Intego han confirmado que los usuarios de
Mac pueden ser infectados a través de una aplicación denominada
Free Video Cutter Joiner, con la que podrían estar recibiendo más de lo que se esperan. Mirando un poco más en profundidad, los expertos de
Intego descubrieron que todas las descargas desde la propia web del desarrollador, el cual tiene dos enlaces oficiales de descarga. El código de
OpinionSpy está siendo insertado, lo más probable, en el instalador. Durante la instalación el usuario necesitará instalar una aplicación llamada
PremierOpinion, la cual se detectará como
OS X / OpinionSpy por antivirus como el de
Intego.
 |
Figura 1: Instalación de aplicación con OpinionSpy |
A diferencia de versiones anteriores de OpinionSpy, esta encarnación pide explícitamente a los usuarios el consentimiento para la instalación del código, aunque por supuesto el riesgo de que un usuario acepte y de consentimiento existe, lo cual acabaría en infección. OpinionSpy permite recopilar datos de mercado, monitorizar comportamiento de compras de los usuarios, etcétera. En líneas generales recopilar hábitos de navegación y poder ser explotados en un ámbito comercial.
Tras la instalación de
OpinionSpy, la aplicación se ha instalado en
/Aplicaciones/PremierOpinion y el usuario dispondrá de nuevas extensiones en
Google Chrome y
Mozilla Firefox. A partir de este momento, el equipo estará en constante contacto con los servidores de
PremierOpinion, usando el mismo dominio que las variantes anteriores de
OpinionSpy securestudies.com.
 |
Figura 2: Premier Opinion |
L
a detección de OpinionSpy no es difícil, por lo que podríamos rápidamente detectarlo y eliminarlo. La existencia del icono de PremierOpinion en la barra de herramientas debería hacernos sospechar, y casi es una evidencia de infección.