Análisis de amenazas

¿Puedes detectar un instalador engañoso?

Christopher Budd 23 de abril de 2021 0:40:09 CEST

Si un programa cuesta algo en un sitio confiable pero es gratis en otro lugar, hay algo sospechoso

¿Alguna vez has descargado un programa que necesitabas, solo para darte cuenta de que en realidad es otra cosa? ¿Y luego tu software antivirus lo marcó? Puede ser confuso y molesto enamorarse de un instalador engañoso , y Avast Threat Labs puede ayudarte a aprender cómo evitarlos.

Cuando te enamoras de un instalador engañoso, obtienes malware o software que no esperaba, en lugar de lo que pensaba que estaba obteniendo. Afortunadamente, además de las protecciones que le brinda Avast, existen formas de detectar instaladores engañosos y evitar que esto suceda por completo. Estos son algunos consejos de nuestros investigadores basados ​​en lo que hemos visto.

Repasemos el proceso con este ejemplo de un juego que está disponible en un sitio de juegos mundial conocido por tres euros.

Sin embargo, si vas a un sitio de descarga no oficial, te ofrecen el mismo juego de forma gratuita, como se muestra a continuación.

Esta debería ser tu primera pista de que hay algo sospechoso en este portal de descarga: como regla general, si un juego o programa cuesta algo en un sitio conocido y confiable, pero es gratis en otro lugar, es probable que no sea realmente gratis. Algo sospechoso está sucediendo.

En este ejemplo, si haces clic en el botón de descarga, se te dirigirá a una página de descarga, como la que se muestra a continuación, con el juego en cuestión (junto con otros juegos) disponible para su descarga "gratuita".

Aquí viene otra pista para ayudarte a detectar falsificaciones: los nombres de los archivos de las descargas siguen un patrón de: <nombre_del_programa> _number.exe.

Es muy inusual que los juegos o programas legítimos usen nombres de archivo como este. Específicamente, la mayoría de los juegos o programas legítimos no tendrán "_number" en sus nombres de archivo.

De hecho, cuando miramos todos los archivos de esta página: 

DeathSpank_03761.exe

Muerte Inc._20157.exe

Pimp My Car GTA San Andreas_86021.exe

GTA IV Parche_30429.exe

La muerte y la mosca_72819.exe

Muerte desde arriba_52193.exe

Descubrimos que todos eran en realidad el mismo archivo mediante el uso de una herramienta para verificar digitalmente el contenido real del archivo. Esta herramienta genera un "hash" que es esencialmente una huella digital del archivo y, como puedes ver a continuación, todos estos archivos tienen el mismo hash. Lo único diferente es el nombre del archivo.

d1d6ae7b9db5d9981f47f089bf4f1faeddf9a9777847adfcd3f7de4f86067c48 * DeathSpank_03761.exe

d1d6ae7b9db5d9981f47f089bf4f1faeddf9a9777847adfcd3f7de4f86067c48 * Death Inc._25601.exe

d1d6ae7b9db5d9981f47f089bf4f1faeddf9a9777847adfcd3f7de4f86067c48 * Death Inc._20157.exe

d1d6ae7b9db5d9981f47f089bf4f1faeddf9a9777847adfcd3f7de4f86067c48 * Pimp My Car GTA San Andreas_86021.exe

d1d6ae7b9db5d9981f47f089bf4f1faeddf9a9777847adfcd3f7de4f86067c48 * GTA IV Parche_30429.exe

d1d6ae7b9db5d9981f47f089bf4f1faeddf9a9777847adfcd3f7de4f86067c48 * La muerte y la mosca_72819.exe

d1d6ae7b9db5d9981f47f089bf4f1faeddf9a9777847adfcd3f7de4f86067c48 * Muerte desde arriba_52193.exe

Los archivos que dicen ser el juego que te interesa son en realidad solo una pequeña parte del instalador. Cuando ejecutes el instalador:

  1. Parece que el nombre de archivo es DeathSpank_03761.exe.

  2. Extrae el último número (03761) y lo envía al servidor junto con cierta información sobre la computadora

  3. Luego, el servidor busca el número en la base de datos y te envía un enlace de descarga junto con ofertas para instalar más software.

  4. El instalador se ejecuta utilizando varias técnicas para convencerte de que instales software adicional (que no sabías que obtendrías) 

  5. Al final, el instalador solo muestra un enlace a un sitio cuestionable. Y no instalará lo que esperabas.

Esto es lo que ves a medida que se desarrolla ese proceso.

Paso 1: El instalador comienza a ejecutarse y muestra un mensaje genérico porque aún no tiene información sobre lo que se va a instalar. También ten en cuenta que esta era una página de descarga en español, pero el instalador está en inglés. Este es otro consejo de que algo sospechoso está sucediendo, ya que el instalador no coincide con el idioma de la página.

Por el contrario, así es como se ve el instalador legítimo de este juego cuando lo compras:

Paso 2: El instalador ha realizado los pasos 2-3 anteriores y obtuvo suficiente información para mostrar qué nombre de juego pensabas que estabas obteniendo y lo muestra en el instalador. Ten en cuenta también que el instalador ha vuelto al español. Esto se debe a que en los pasos 2 a 3 anteriores, obtuvo información del servidor que indica que pensaba que estaba obteniendo una descarga en español. Este "cambio de idioma" en el proceso de instalación es otra pista de que algo sospechoso está sucediendo.

Llegaron los datos del servidor y el instalador volvió al español.

Después de hacer clic en Siguiente, el instalador comienza a ofrecerte otro software que no solicitaste e intenta una serie de técnicas para que lo instales. Por ejemplo, en este a continuación, para no instalar el producto, debes desmarcar la casilla de verificación en miniatura.

En este ejemplo, si no deseas instalar el software ofrecido, debes hacer algo diferente; en este caso, haz clic en "Rechazar".

En la tercera pantalla de oferta que aparece, debes desmarcar otra casilla de verificación en miniatura.

En la cuarta pantalla de oferta, para evitar el software ofrecido, debes hacer clic nuevamente en el botón "Rechazar". Y en esta pantalla han eliminado el botón "Atrás", lo que dificulta la interrupción del proceso de instalación.

Cuando atraviesas este proceso, se te presenta una pantalla tras otra que debes elegir para encontrar la manera correcta de rechazar el software ofrecido. Esto es por diseño y otra pista de que esto no es lo que pensabas que era. Estas pantallas están diseñadas para confundirte y frustrarte, por lo que es más probable que aceptes el software. También dificulta finalizar la sesión en la última pantalla.

Si has navegado hasta aquí y sigues adelante, parece que finalmente estás obteniendo el juego por el que llegaste ahí en primer lugar porque obtienes una página de "Gracias".

Sin embargo, el juego que querías no se está instalando en realidad. En su lugar, se te presenta otro enlace de descarga a un sitio aparentemente aleatorio y potencialmente malicioso.

Al final de todo esto, puede que tenga o no el software que deseaba en primer lugar. Es posible que tenga otro software que no desee. Y es posible que también tenga malware en su sistema.

Avast a menudo puede detectar estos instaladores o el malware que se puede descargar en este proceso como malicioso y generar una alerta. Eso puede ser confuso para las personas porque piensan que están obteniendo algo legítimo pero, como hemos visto, no es así. En este caso la alerta es correcta porque nuestra tecnología ha detectado la estafa oculta .

Puedes evitar los peligros de este tipo de instaladores engañosos buscando las pistas y siguiendo los consejos que he descrito en esta publicación:

  1. Si una oferta es demasiado buena para ser verdad, como un juego o software gratis que normalmente no es gratis, desconfía.

  2. Si un programa que deseas se ofrece en un sitio web fuera de una tienda de aplicaciones oficial o del sitio web del fabricante del programa, desconfíe.

  3. Si comienzas a instalar algo y el idioma del instalador cambia, sospecha.

  4. Si el instalador te ofrece varias aplicaciones que no deseabas o no esperabas, desconfía.

  5. Si el instalador finaliza sin instalar realmente lo que esperabas, sospecha mucho.

  6. Si sospechas de un instalador, ciérralo de inmediato. Si no puedes encontrar un botón de salida para él (a veces no tienen uno), siempre puedes presionar CTRL-ALT-SUPR y abrir la lista de programas en ejecución, resaltar el instalador y hacer clic en "Finalizar tarea" en Microsoft Windows .

  7. Si tu software de seguridad muestra una advertencia sobre lo que estás instalando, confía en él y deja que te proteja a ti y a tu computadora.

  8. Si llegas al final de un instalador como este y te das cuenta de que no es lo que deseas, sigue adelante y desinstala todo lo que se instaló y ejecuta un escaneo completo de tu sistema usando Avast (o cualquier software de seguridad que uses).

Si comprendes cómo funcionan estos instaladores, puedes protegerte mejor de las desagradables sorpresas de software no deseado y malware que pueden dejarte. Si buscas las pistas y sigue los consejos que describí, eso puede ayudarte a asegurarte de que solo tengas las aplicaciones y los juegos que deseas y esperas en tu sistema.