Az enyémre tervezett rosszindulatú szoftver cryptocurrency több száz eszközön terjedt el egy Google Fordító alkalmazás megjelenése alatt.
A „Nitokod” néven emlegetett rosszindulatú szoftvert a Google Fordító asztali programjaként tervezték, és a Check Point Research (CPR) augusztus 29-i adatai szerint egy törökországi szervezet készítette.
Mivel a Google Fordító szolgáltatásaihoz nincs hivatalos asztali kliens, sok Google-felhasználó töltötte le számítógépére ezt a programot. Amikor ezt a programot telepítik egy okostelefonra, azonnal megkezdi egy kifinomult kriptovaluta bányászati üzlet létrehozását azon az eszközön.
A rosszindulatú alkalmazás letöltését követően a rosszindulatú program telepítésének folyamata egy ütemezett feladatmechanizmus segítségével indul el. Egy későbbi szakaszban ez a rosszindulatú szoftver egy komplex bányászati rendszert telepít a Monero (XMR) kriptovalutához.
A bányászati szoftver Proof of Work-t használ
A bányászati szoftver a Proof of Work (Hadifogoly) bányászati koncepció, amely jelentős mennyiségű villamos energiát fogyaszt. Ennek eredményeként a kampány irányítójának titkos hozzáférést biztosít a fertőzött számítógépekhez, lehetővé téve számukra, hogy átverjék az embereket, és kárt okozzanak a rendszerekben.
A CPR-jelentés a következőket állítja: „Miután a rosszindulatú program végrehajtásra került, csatlakozik a C&C szerveréhez, hogy megkapja az XMRig crypto miner konfigurációját, és elindítja a bányászati tevékenységet. A szoftver könnyen megtalálható a Google-on keresztül, amikor a felhasználók a „Google Fordító asztali letöltése” kifejezésre keresnek. Az alkalmazások trójaiak, és késleltetett mechanizmust tartalmaznak egy hosszú, többlépcsős fertőzés felszabadítására.”
A jelentések szerint a Nitrokod kártevő legalább 11 országban érintette a gépeket 2019-es terjesztése óta. A CPR frissítéseket és figyelmeztetéseket is közzétett a Twitteren a kripto-bányászati erőfeszítésekkel kapcsolatban.
A Zscaler Threatlabz szerint a Joker vírus, egy másik rosszindulatú program, az év elején 50 alkalmazást fertőzött meg a Google Play Áruházban hasonló megközelítéssel. Gyorsan törölték őket a Google alkalmazásboltjából. A Zscaler ThreatLabz csapata szerint a Joker, Facestealer és Coper rosszindulatú programcsaládok alkalmazáson keresztül terjednek.
Amikor a ThreatLabz csapata azonnal értesítette a Google Android Security csapatát ezekről az újonnan azonosított veszélyekről, a rosszindulatú alkalmazásokat gyorsan eltávolították a Google Play Áruházból.
Azonban annak ellenére, hogy sokan a kriptográfia területén aggódnak az esetleges csalásokról szóló jelentések miatt, egy nemrégiben készült tanulmány kimutatta, hogy a kriptovaluta-csalásokból származó bevétel 65%-kal esett vissza, és folyamatosan csökken.
Forrás: https://finbold.com/crypto-malware-impersonating-google-translate-app-infects-thousands-of-pcs/