Złośliwe oprogramowanie kryptograficzne podszywające się pod aplikację Tłumacz Google infekuje tysiące komputerów

Złośliwe oprogramowanie zaprojektowane do kopalni kryptowaluta rozprzestrzenia się na setki urządzeń pod postacią aplikacji Tłumacz Google.

Według Check Point Research (CPR) 29 sierpnia złośliwe oprogramowanie, określane jako „Nitokod”, zostało zaprojektowane jako program komputerowy dla Tłumacza Google i zostało stworzone przez organizację zlokalizowaną w Turcji.

Z powodu braku oficjalnego klienta desktopowego dla usług Tłumacza Google, duża liczba użytkowników Google pobrała ten program na swoje komputery. Gdy ten program zostanie zainstalowany na smartfonie, natychmiast zaczyna konfigurować na tym urządzeniu wyrafinowany biznes kopania kryptowalut. 

Po pobraniu tej złośliwej aplikacji proces instalacji złośliwego oprogramowania jest inicjowany przy użyciu mechanizmu zaplanowanego zadania. Na późniejszym etapie to złośliwe oprogramowanie instaluje złożoną platformę wydobywczą dla kryptowaluty Monero (XMR).

Oprogramowanie górnicze wykorzystuje Proof of Work

Oprogramowanie górnicze oparte jest na Proof of Work (PoW) koncepcja wydobywcza, która zużywa znaczną ilość energii elektrycznej. W rezultacie daje kontrolerowi tej kampanii ukryty dostęp do zainfekowanych komputerów, pozwalając im na oszukiwanie ludzi, a następnie wyrządzenie szkody systemom.

Raport CPR stwierdza: „Po uruchomieniu szkodliwe oprogramowanie łączy się ze swoim serwerem C&C, aby uzyskać konfigurację dla koparki kryptowalut XMRig i rozpoczyna wydobycie. Oprogramowanie można łatwo znaleźć za pośrednictwem Google, gdy użytkownicy wyszukują „Pobieranie Tłumacza Google Desktop”. Aplikacje są trojanizowane i zawierają opóźniony mechanizm wyzwalający długą, wieloetapową infekcję”.

Według doniesień, złośliwe oprogramowanie Nitrokod dotknęło maszyny w co najmniej 11 krajach od czasu jego dystrybucji w 2019 r. CPR opublikowała również na Twitterze aktualizacje i ostrzeżenia dotyczące wysiłków związanych z wydobywaniem kryptowalut. 

Jak podaje Zscaler Threatlabz, inny złośliwy program, wirus Joker, zainfekował 50 aplikacji w sklepie Google Play na początku tego roku w podobny sposób. Zostały szybko usunięte ze sklepu z aplikacjami Google. Według zespołu Zscaler ThreatLabz odkryto, że rodziny złośliwego oprogramowania Joker, Facestealer i Coper rozprzestrzeniają się za pośrednictwem aplikacji. 

Gdy zespół ThreatLabz niezwłocznie poinformował zespół ds. bezpieczeństwa Google Android o tych nowo zidentyfikowanych zagrożeniach, złośliwe aplikacje zostały szybko usunięte ze Sklepu Google Play.

Jednak mimo że wiele osób w kryptowalutach niepokoi się raportami o możliwych oszustwach, ostatnie badanie wykazało, że przychody z oszustw kryptowalutowych spadły o 65% i maleją.