El AdWare de las "Buca Apps": qué es, qué hace y cómo podemos eliminarlo del Mac

Recientemente me he encontrado con un caso bastante grave de AdWare en un Mac que tuve que reparar en una de mis formaciones. Son las llamadas "Buca Apps", que tienen la apariencia de extensiones y aplicaciones inofensivas pero que tienen objetivos mucho más oscuros.

Básicamente, si instalamos las extensiones, éstas a su vez instalan una serie de componentes en la librería de OS X que añaden anuncios a cualquier web que abramos, y con cualquier navegador que utilicemos. El usuario, incauto, ve cómo los textos de todas las páginas que visita están plagadas de enlaces a anuncios y sufre la aperture de popups a ritmo de uno por minuto. Da igual el navegador que utilices y la web que visites, y no hay limpiador o antivirus que sea capaz de eliminarlos.

Cómo identificar si tenemos el AdWare instalado

Abre cualquier navegador que tengas instalado en tu Mac, y carga alguna web como por ejemplo la oficial de Apple. Si entre las imágenes de los productos de la compañía ves enlaces hacia artículos cuya temática no encaja con la compañía, sospecha. Y si hay alguna parte del texto de la web que queda resaltado, abriendo un anuncio emergente cuando pasamos el cursor por encima, entonces hay que asumir lo peor.

Otro modo de averiguar si tenemos las Buca Apps instaladas es mirar si en nuestro Safari, Chrome o Firefox tenemos instaladas alguna de las siguientes extensiones o cualquiera que tenga un nombre muy parecido:

• Shopy Mate
• FlashMall
• Cinema-Plus Pro
• Cinema + HD
• Cinema+ Plus
• Cinema Ploos

Si se da el caso, lo primero es mantener la calma: este AdWare no elimina ningún archivo del disco ni lo "secuestra" haciéndose pasar por el FBI. Pero lo que sí hace es añadir publicidad adicional a todas las webs para que pulses en ellas y generes ingresos a ciertas empresas responsables hasta un punto en el que la navegación por la red se hace insoportable.

Cómo eliminar las "Buca Apps" del Mac

Lamentablemente, ningún anti-virus o limpiador de los que probé fue capaz de librarse de estas extensiones fraudulentas. Así que toca ponerse manos a la obra y eliminar todos los procesos manualmente siguiendo estos pasos que nos facilitan desde The Safe Mac:

NOTA: En la mayoría de pasos deberemos introducir la contraseña de administrador del Mac.

• En todos los navegadores que tengas y que sean capaces de ejecutar extensiones, elimina todas las que tengan nombres parecidos o idénticos a la lista que he puesto más arriba. Tras hacerlo, reinicia todos los navegadores y asegúrate de que dichas extensiones ya no están.
• Cierra todos los navegadores y aplicaciones que tengas abiertas en el Mac.
• Abre el Finder y dirígete a la carpeta Macintosh HD/Sistema/Librería. Allí, busca la carpeta cinemapro1-2. Si la encuentras, elimínala.
• En ese mismo directorio, dentro de la carpeta LaunchDaemons, elimina cualquier archivo que tenga un nombre parecido a com.cinemapro1-2.daemon.plist o contenga las palabras Shopy-Mate o FlashMall.
• Ve ahora a tu carpeta de usuario, la que tiene tu nombre y el icono de una casa. Allí, ve a Librería. Si no ves esa carpeta en el Finder, abre un Terminal y ejecuta el siguiente comando: sudo open ~/Library/. Finder nos abrirá la carpeta.
• Elimina la carpeta WebTools junto con todo su contenido.
• Entra en la carpeta Application Support y elimina la carpeta webHelperApp junto con todo su contenido.
• Entra en la carpeta LaunchAgents y elimina los archivos siguientes en caso de que los encuentres. Es posible que los nombres varíen ligeramente:
  • WebServerSocketApp
  • com.webhelper.plist
  • com.webtools.update.agent.plist
  • Safari Security
  • shopy-mate_enabler.plist (también puede empezar por FlashMall o Cinema-Plus)
  • shopy-mate_enabler.sh (también puede empezar por FlashMall o Cinema-Plus)
  • shopy-mate_updater.plist (también puede empezar por FlashMall o Cinema-Plus)
  • shopy-mate_updater.sh (también puede empezar por FlashMall o Cinema-Plus)
  • shopy-mate.ver (también puede empezar por FlashMall o Cinema-Plus)
  • com.crossrider.wssXXXX.agent.plist (Las X son cifras que varían)
• Finalmente, vacía la papelera. Si el sistema te dice que no puede ya que algunos archivos están en uso, entra en el Terminal y ejecuta el comando sudo rm -rf ~/.Trash/. La papelera debería vaciarse.
• Asegúrate de que has hecho todos los pasos y reinicia el Mac.

Si no nos hemos dejado nada, ahora deberíamos poder abrir el navegador y comprobar cómo los anuncios intrusivos han dejado de aparecer. Recordad: la mejor manera de evitar esto, más que instalar aplicaciones de limpieza y anti-virus, es mirar bien dónde hacemos click e instalar solamente aplicaciones y extensiones fiables. Tener el dedo fácil a la hora de darle a Aceptar en ciertos mensajes de diálogo de la web puede llevarnos a problemas como estos.

Imágenes | Christophe Verdier, TechnoGiants Blog En Applesfera | Cómo desinstalar OSX/OpinionSpy si estamos afectados