Shlayer es un virus de tipo troyano diseñado para propagar varios programas publicitarios o aplicaciones no deseadas y promocionar falsos buscadores web. Suele hacerse pasar por el instalador de Adobe Flash Player y por varias herramientas para piratear software. Casi siempre, los usuarios suelen toparse con este virus al visitar sitios web Torrent no fiables que están llenos de anuncios intrusivos y descargas engañosas.
Durante casi dos años, el troyano Shlayer ha sido la amenaza más extendida en la plataforma macOS: en 2019, uno de cada diez usuarios de nuestras soluciones de seguridad para Mac se topó con este malware al menos una vez, y en relación con todas las detecciones de malware realizadas en este sistema operativo, su cuota es de casi el 30%. Los primeros ejemplares de esta familia cayeron en nuestras manos en febrero de 2018, y hasta ahora, hemos recopilado casi 32 mil muestras maliciosas diferentes del troyano. También hemos identificado 143 dominios de servidores de administración.
Después de montar esta imagen DMG, le solicita al usuario que ejecute el supuesto archivo de instalación. Sin embargo, el instalador -en apariencia normal- resulta ser un script en Python, y esto es ya una forma atípica de instalar software para macOS.
En el directorio con archivos ejecutables incorporado en el paquete de la aplicación hay dos scripts Python: gjpWvvuu847DzQPyBI, el principal y goQWAJdbnuv6, el auxiliar. Este último implementa funciones de cifrado de datos utilizando un desplazamiento de bytes en la clave key:
- El par de funciones encryptText y decryptText se encargan de cifrar y descifrar las cadenas;
- encryptList cifra el contenido de la lista proporcionada en los argumentos y decryptList realiza la operación inversa.
- La función getKey (), como su nombre permite adivinar, genera una clave de cifrado basada en el tiempo en el sistema operativo.
Como se indicaba anteriormente, la gran mayoría de los ejemplos de Shlayer se distribuyen usando los sitios web torrent. Los ciberdelincuentes muestran como legítimos instaladores de Adobe Flash Player y software pirata, cuando en realidad los usuarios acaban ejecutando Shlayer. En algunos casos, los ejemplos de Shlayer que se hacen pasar por los instaladores/descargadores Adobe Flash Player se promocionan usando sitios web que muestran errores falsos. Esos sitios muestran mensajes engañosos donde se dice que falta Adobe Flash Player o está desactualizado, e insta a los usuarios a instalarlo o actualizarlo de inmediato. Sin embargo, el resultado es el mismo finalmente. De una forma u otra, la falta de conocimiento del usuario y un comportamiento imprudente llevan normalmente a la infección Shlayer; son ellos los que abren varios archivos descargados de fuentes de dudosa fiabilidad.