El informe 'El negocio de los falsos antivirus', realizado por la empresa de antivirus 'Panda', pone de manifiesto la proliferación de los falsos antivirus ya que aproximadamente 35 millones de nuevos ordenadores se infectan con falsos antivirus cada mes (alrededor del 3,5 por ciento de todos los ordenadores), lo que genera unos ingresos cercanos a los 23,62 millones de euros.
Los falsos antivirus son soluciones que se hacen pasar por aplicaciones legítimas de software y tratan de "robar dinero" de los usuarios de ordenadores haciéndoles creer que van a eliminar amenazas que realmente no existen.
Así, el estudio, realizado por los investigadores Luis Corrons y Sean-Paul Correll, analiza los diferentes tipos de falsos antivirus que se han creado y muestra como este nuevo tipo de 'malware' se ha convertido en parte fundamental de los virus informáticos.
El análisis ha identificado aproximadamente 200 familias diferentes de falsos antivirus y 'Panda' prevé que estas variantes sigan creciendo. Sólo en el primer trimestre de 2009, se crearon más ejemplares que en todo el año 2008.
El segundo trimestre fue "aún peor", según la compañía, con la aparición del cuádruple de nuevos ejemplares que en el año 2008. Para el tercer trimestre, 'Panda' prevé que el número total de falsos antivirus será mayor que en los 18 meses anteriores.
Los efectos de los falsos antivirus
Además de quedarse con el dinero de los consumidores y ofrecer justamente lo contrario a proteger la seguridad, muchos falsos antivirus comparten las siguientes características:
- Muestran falsos avisos emergentes, lanzan mensajes desde la barra de tareas y modifican el salvapantallas y el escritorio
- Su diseño es parecido al de un antivirus real
- Completan un análisis del sistema con gran rapidez
- Las “infecciones” detectadas hacen referencia a distintos archivos en cada análisis.
Por otro lado, los falsos antivirus modifican el sistema operativo para evitar que se eliminen los falsos avisos que muestran. Estas acciones incluyen ocultar las pestañas Escritorio y Protector de
pantalla de la sección Pantalla del Panel de Control del ordenador. Esto impide a los usuarios restaurar su fondo de escritorio y su salvapantallas. El objetivo de estas técnicas es acabar con la
paciencia de los usuarios para que finalmente registren el producto y paguen la cuota correspondiente.
Los delincuentes ya no necesitan robar información a los usuarios para ganar dinero; simplemente hacer que los usuarios se desprendan voluntariamente del mismo. Tal y como se muestra
anteriormente, la interfaz de los falsos antivirus está diseñada muy cuidadosamente y resulta extremadamente convincente, lo que indica que los criminales están invirtiendo mucho dinero y
esfuerzo en desarrollar y distribuir estos programas. Además, utilizan técnicas agresivas para asustar a los usuarios y hacer que compren la licencia
Los más difundidos
| 1 | Antivirus,2009 | 15,89% |
| 2 | VirusRemover,2008 | 9,90% |
| 3 | Xpantivirus,2008 | 8,52% |
| 4 | XPAnti Spyware 2009 | 6,13% |
| 5 | System Guard 2009 | 5,26% |
| 6 | Spyware Remover2009 | 4,34% |
| 7 | Antivirus 360 | 3,88% |
| 8 | Real Antivirus | 3,57% |
| 9 | Rogue Antimalware 2008 | 3,45% |
| 10 | SystemSecurity | 3,42% |
| 11 | Spyware Guard 2008 | 2,67% |
| 12 | AntivirusPro 2009 | 2,39% |
| 13 | AntivirusXP 2008 | 2,04% |
| 14 | MSAntiSpyware 2009 | 1,87% |
| 15 | RogueAntimalware 2009 | 1,69% |
| 16 | Antivirus XPPro | 1,67% |
| 17 | Pro Antispyware 2009 | 1,57% |
| 18 | Security Center | 1,38% |
| 19 | AntiMalware Suite | 1,02% |
| 20 | Antispy 2008 | 1,00% |
Un negocio mulitmillonario
Basándose en estimaciones existentes dentro de la industria informática, PandaLabs ha extrapolado información y calculado una serie de cifras para demostrar las consecuencias económicas del rogueware. Según la consultora Forrester Research, existen aproximadamente mil
millones de ordenadores en todo el mundo. Basándose en esta cifra, PandaLabs calcula que aproximadamente 35 millones de ordenadores (el 3,5 por ciento del total) se infectan con rogueware cada mes. Esto no quiere decir que 35 millones de personas se infectan cada mes, ya
que hay personas que utilizan un ordenador distinto en casa y en el trabajo. Teniendo esto en cuenta, consideraremos que la mitad de dicha cifra corresponde a usuarios reales: 17,500,000.
Otra empresa consultora dentro del sector informático, el grupo Gartner, ha estimado que el 3,30 por ciento de las personas pierden dinero debido al phishing, ya que envían sus datos bancarios a phishers. El rogueware es mucho más agresivo y tiene mayor poder de engaño que el phishing.
Sin embargo, no existe ninguna investigación hasta la fecha que cuantifique el número de personas que han sido engañadas y han comprado falso software antivirus para eliminar infecciones inexistentes. Por ello, y basándose en la cifra de Gartner de que el 3,30 por ciento de
los usuarios pierde dinero debido al phishing, PandaLabs calcula que 557.500 usuarios compran rogueware cada mes. Es importante tener en cuenta que las técnicas utilizadas por el rogueware son mucho más agresivas que las del phishing, por lo que es probable que esta cifra sea en
realidad más alta.
A pesar de que el precio de cada aplicación de rogueware varía, en general existen dos tipos de licencias:
- Las más baratas cuestan 49,95 dólares
- Las más caras cuestan 79,95 dólares
Utilizando estos datos y suponiendo que 2/3 partes de las personas compran la aplicación más barata, y que el precio medio es de 59,95 dólares. PandaLabs ha calculado que los delincuentes están ganando más de 34 millones de dólares al mes gracias al rogueware.
59.95$ * 557.000 = 34.621.125$ AL MES
34 millones de dólares mensuales suponen más de 415 millones de pérdidas económicas al año.
Una mirada al negocio del rogueware
En septiembre del año 2008 un hacker conocido como “NeoN” fue capaz de infiltrarse en Bakasoftware (uno de los mayores fabricantes de rogueware) explotando vulnerabilidades de inyección SQL en su página web. Este hacker reveló información clave sobre la forma en que Bakasoftware llevaba a cabo su negocio, y, por primera vez, fue posible ver el daño real que estaba causando el negocio del rogueware.
El análisis de la las ventas conseguidas por uno de los mayores afiliados de Baka mostró unas beneficios de 81.388,61 dólares en 6 días, lo que significa que, si esta tendencia se mantuviese lo largo de varias semanas, las ganancias totales rondarían los 400.000 dólares mensuales. Eso supone casi 5.000.000 de dólares al año. La cifra resulta realmente astronómica si tenemos en cuenta que este cálculo proviene sólo de uno de los múltiples afiliados de Baka, por no mencionar que el negocio del rogueware se ha cuadruplicado desde el año 2008 (en términos del número de ejemplares).
¿Cómo se distribuyen?: Sistema de afiliados
El modelo de negocio de los falsos antivirus tiene dos componentes principales: los creadores de los programas y los distribuidores. Los creadores se encargan de crear las falsas aplicaciones, proporcionar las plataformas de distribución, las pasarelas de pago y otros servicios de back office.
Los afiliados se encargan de distribuir el rogueware al mayor número de personas de la forma más rápida posible.
Normalmente estos afiliados provienen de Europa del Este y son captados en foros de hacking. Ganan una cantidad variable por cada instalación y una comisión del 50 al 90 por ciento por las ventas completadas.
El método de recaudación más utilizado parece ser Webmoney, aunque también se utiliza Epassporte. Tras ser reclutado, el afiliado proporciona el método de pago que prefiere, así como sus datos De contacto (correo electrónico y número de ICQ). Una vez se introduce al afiliado en el sistema, se le asigna un identificador único que se añade al final de cada
dominio de distribución de malware, para así poder hacer un seguimiento de las ventas. (Ej.
http://www.rogueware.com/index.php?aid=1200).
PandaLabs ha descubierto también logs de ventas que contenían datos personales de las víctimas engañadas por el rogueware. Se pudieron obtener datos como el nombre completo, datos financieros, direcciones de correo electrónico y direcciones IP de los servidores de las pasarelas
de pago. Parece claro que los criminales no sólo buscar beneficiarse de las ventas del rogueware, sino también generar ingresos adicionales vendiendo los logs con los datos extraídos de los pagos.
En definitiva, el programa de afiliados funciona igual que un negocio normal. Uno de los sistemas de afiliados más conocido es el que dirige KlikVIP, que ofrece comisiones a cualquiera que instale sus aplicaciones de rogueware, y de vez en cuando organiza fiestas con sus “distribuidores”.
Fiesta de KLIKVIP, con entrega de un premio al afiliado con mayores ventas
¿Cuanto cobran los afiliados?
Estos distribuidores utilizan normalmente un sistema de pago-por-instalación. Los datos siguientes corresponden a la lista de precios de uno de uno de los sitios afiliados:
Miles de versiones para evitar ser identificados
Los criminales saben cómo evitar que sus creaciones sean detectadas por los antivirus. La mayoría de ellas no muestra comportamientos sospechosos, por lo que las empresas antivirus tienen que centrarse en la detección por firmas (específicas o genéricas) para neutralizar dichos
programas. Esta es la razón principal por la que los delincuentes están creando tantos ejemplares nuevos. Por otra parte, PandaLabs ha empezado a detectar variantes más avanzadas de malware que utilizan características de troyanos, además de rootkits y otras técnicas, para evitar las tecnologías de protección antivirus.
[tags]Panda Security,Antivirus falsos[/tags]