El negocio de los falsos antivirus está vivito y coleando

Hemos notado que el número de falsos programas antivirus ha disminuido de forma notoria desde junio. En este momento observamos unos 10.000 intentos diarios de infectar a los usuarios con Trojan-FakeAV; en junio las cifras oscilaban entre 50.000 y 60.000.

Cantidad diaria de intentos de infección con Trojan-FakeAV durante los últimos 5 meses

Sin embargo, siguen apareciendo nuevas versiones de este programa malicioso. Como consecuencia, acabamos de añadir a la lista de programas maliciosos más comunes la nueva familia Trojan-FakeAV.Win32.OpenCloud.

Captura de pantalla de Trojan-FakeAV.Win32.OpenCloud.h en acción

Esta captura de pantalla nos muestra cómo un antivirus falso identificó como “maliciosos” algunos archivos estándar de Windows, incluyendo notepad, wmplayer, paint, calc, y explorer, entre otros. De esta manera el falso antivirus se delata a sí mismo. Resulta interesante que también mencione la protección en la nube, quizás tratando de aprovecharse de este nuevo concepto en boga. Si el usuario cae víctima del engaño y compra este falso software, le espera todavía otra estafa. En el centro de la pantalla, se anuncia un precio de 52,95$, pero en la letra pequeña, llega a costar 72,85$ por la llamada protección “de por vida”.

Ventana de pago de Trojan-FakeAV.Win32.OpenCloud.h

Hemos usado WireShark para monitorear el sitio de pago del falso antivirus. La siguiente captura de pantalla muestra que la información se envía a la URL ******online.com. Incluye información sobre el sistema operativo instalado (6.0.2900), la identidad del socio (8779) que recibirá su tajada, y otros datos.

Captura de pantalla de WireShark – ¡también una intercepción de tráfico!

Según el servicio Whois, el sitio de pago ******online.com. se registró en Rusia a nombre de Denis Verdanskiy, el 10 de mayo de este año.

Hemos descubierto un programa afiliado llamado “Money Racing AV” en la dirección IP que se especifica en la información sobre el servidor NS del alojamiento en cuestión. Mediante un motor de búsqueda, hemos encontrado alguna información sobre este programa afiliado en un foro clandestino ruso.

Un anuncio en ruso sobre el programa afiliado Money Racing AV

En este anuncio, los cibercriminales invitan a los usuarios a distribuir FAkeAV a cambio de 25$ por cada compra e instalación del falso antivirus que logren. El trato ofrecido representa un poco más de un tercio del precio que paga el usuario. El resto del dinero parece llegar a los bolsillos de los dueños del programa afiliado que proporciona el falso programa antivirus, la interfaz de pago online, y que gestiona la transacción.

Queda claro que bandas de cibercriminales siguen distribuyendo con éxito falsos programas antivirus, a pesar de que este mercado ha sufrido una aguda caída. Entonces, si al navegar en Internet te encuentras con notificaciones como “Error en Windows” o “sistema infectado”, debes proceder con mucho cuidado. No debes pagar por ninguna solución antivirus que de pronto aparezca en Internet, y asegúrate de contar con un programa de seguridad legítimo.