18 dic. 2012

Falso #JDownloader instala Adware

Hace una semana reportamos a través de Twitter que desde hace tiempo existe una web falsa de JDownloader, la popular herramienta para manejar descargas múltiples a través de Internet. El sitio original es http://www.jdownloader.org/ (el dominio real es ORG, no ingrese a otro).

Tristemente hemos podido constatar que el sitio falso (.COM) existe desde al menos mediados de 2011 y eso le ha valido una excelente ubicación en Google, nada más que la primera posición si se busca "JDownloader":

Por otro lado el sitio falso puede engañar a cualquiera, excepto por algunos detalles, ya que sus creadores han puesto énfasis en esa característica:
Como los enlaces superiores no funcionan, no queda mucho que hacer más que descargar la aplicación, el cual, por otro lado, es el motivo inicial de haber ingresado al sitio.

Si se descarga el instalador "installer_jdownloader.exe" y a pesar de ser una aplicación de casi dos años de existencia, lamentablemente la tasa de detección de los antivirus es muy baja (5/45) y algunos de ellos recién comenzaron a detectarlo como Adware esta semana, luego de nuestra denuncia.

Luego del engaño inicial y posterior a la descarga, el usuario procedería a la instalación de la herramienta y es aquí cuando la "magia" realmente ocurre ya que, primero el instalador falso descargado instalará un Adware (malware con barras y publicidad) y luego descargará el instalador real de JDownloader, completando el engaño.

La instalación inicial ocurre como cualquier otra. Primero se acepta la licencia de uso:
Y luego se consulta al usuario sobre la instalación de Babylon Toolbar como plugin adicional en el navegador web.
Generalmente estas barras se utilizan para buscar información y traducir texto pero lo realmente molesto es que continuamente ofrecerán ofertas de productos y por otro lado la barra enviará información del usuario a la empresa, lo cual también se podría catalogar como Spyware. Basta realizar una búsqueda para confirmar la cantidad de usuarios que han instalado esta barra y que desean desinstalarla (no será tan fácil).

A continuación finalizará la instalación pero si se observa con cuidado en el proceso se descargaron otras aplicaciones: "instloffer.exe" (2/45), "JDownloaderSetup_CH2[1].exe" (3/46) que son los instaladores de InstallCore, otros tipo de Adware, Spyware y programas potencialmente dañinos (PUA).

Además en este proceso, se registrará la descarga e instalación por parte del usuario y se almacenará la IP desde donde se ha realizado el proceso. Para ello, el instalador se comunica con dos sitios:
  • http://www.inst[ELIMINADO].com/insts/country.php
  • http://www.inst[ELIMINADO].com/insts/pcount.php
  • http://www.inst[ELIMINADO].com/insts/listener.php
  • http://www.inst[ELIMINADO].com/insts/instapi.php
  • http://media.sft[ELIMINADO].com/icoinstall/programs/
Y estos redirigen a:
  • http://xmlinstcp.portal-[ELIMINADO].com/cmd/geo.php?rip=IP_USUARIO
Todos estos sitios están catalogados como peligrosos en WOT y Malware Domains y tienen una reputación nula (como se ve en la imagen), debido a las acciones dañinas en el sistema del usuario.

Incluso, el último servidor pertenece a una empresa española ampliamente conocida por sus fraudes con información relacionada a telefonía celular y que generalmente utiliza Facebook para propagarse. Con la información recolectada es posible establecer sin lugar a dudas la relación con otras empresas de la misma calaña.

Además realizando un debugging de las aplicaciones instaladas es posible encontrar el correo [email protected][ELIMINADO]telecom.info, lo cual confirma que el fraude original parte de España (obviamente la empresa TELECOM nada tiene que ver con esto).

Al margen de lo observado es interesante ver lo que sucede cuando se intenta invocar a las URL mencionadas, ya que la aplicación web devuelve errores que podrían ser utilizados para realizar un ataque contra el servidor web de la empresa e incluso descargar el código fuente PHP utilizado para los fraudes:

Luego de todo esto, que se realiza sin comunicar al usuario y por supuesto sin su consentimiento, se descargará el instalador real de JDownloader desde el sitio oficial y se ejecutará, con lo que el usuario finalmente no sospechará nada.

Tenga cuidado, como dije el sitio original de JDownloader es http://www.jdownloader.org/ (el dominio real es ORG, no ingrese a otro).

Cristian de la Redacción de Segu-Info

7 comentarios:

  1. Felicitaciones Critian! Un excelente articulo y una investigacion impecable!!!

    ResponderEliminar
  2. ahora resulta que hicieron válidos los 3 enlaces señanados.

    ResponderEliminar
  3. A raíz de este artículo he decidido probar si el IDS/IPS snort detecta el malware descargando el programa en una VM. Resultado:

    MALWARE-CNC known command and control channel traffic - 12/05-00:55:37
    ET MALWARE Morpheus Spyware Install User-Agent (SmartInstaller) - 12/22-00:39:47

    La VM todavía está intentando descargar los "programas adicionales", sin exito ya que snort bloqueó la IP del equipo.

    ResponderEliminar
  4. Alexis Abarca, gracias y muy util el test.

    Cristian

    ResponderEliminar
  5. Anónimo3/7/13 20:43

    A mi me paso algo muy desagradable con ese programa, baje la nueva versión de la pagina oficial, aclaro, la página oficial (www.jdownloader.org), entonces mi antivirus marco la descarga como malware, pero pensé que era uno de esos falsos positivos, así que desactivé el antivirus y al terminar la supuesta instalación, al ejecutarse, se apoderó del sistema e invadió mi navegador con banners publicitarios por todas partes. ¡Qué fastidio!. Por suerte mi compu está congelada, así que solo basta un reinicio para dejarla tal y como estaba antes.

    Amigos, NO bajen el instalador del jdowlodader. Esta nueva versión está muy enferma. No les vaya a pasar lo que a mí.

    Y pido encarecidamente a los uploaders que no pongan sus enlaces detrás del botón "Click Aquí para Agregar Links a Jdownloader" eso obliga a los usuarios a instalar ese programa que hoy en día está muy mal. Y para colmo, ni siquiera funcionan, marcan error.

    Así que ya están advertidos...

    ResponderEliminar
  6. Anónimo9/4/15 00:13

    Vi por un sitio web que la mejor forma de descargar este gestor de descarga sin toda la mala sangre es descargarlo obviamente del sitio oficial pero desde la segunda opción que te da linux. Para tenelo en cuenta señores, yo lo probando y la verdad que nada que me haya incomodado =)

    Saludos!

    ResponderEliminar
  7. me contaròn de algo que le sucedio a un conocido, estaba esta persona realisando descargas con una versiòn de jdownloader la que desconozco el sitio donde la descargo, cuando le aparecio un mensaje donde le decia que estaba realizando una descarga ilegal y que fue detectado por el FBI, le mostraron en el mensaje una foto de su perfil de facebook y le pedian depositara una cantidad de $2000 pesos mexicanos para pagar una multa, logico no se lo creyo pero ahora cada que reinicia su pc se escucha un pitido en el arranque que antes no daba, aun no checamos su equipo pero deben haberle instalado un muy buen malware, antes no se la encripataron

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!