Šifrovaný malvér napodobňujúci aplikáciu Google Translate infikuje tisíce počítačov

Škodlivý softvér určený na ťažbu kryptomena sa šíri na stovkách zariadení pod vzhľadom aplikácie Google Translate.

Škodlivý softvér, označovaný ako „Nitokod“, bol navrhnutý ako počítačový program pre Google Translate a podľa Check Point Research (CPR) z 29. augusta ho vytvorila organizácia so sídlom v Turecku.

Keďže chýba oficiálny desktopový klient pre služby Google Translate, veľký počet používateľov Google si tento program stiahol do svojich počítačov. Keď sa tento program nainštaluje do smartfónu, okamžite začne na tomto zariadení vytvárať sofistikované podnikanie v oblasti ťažby kryptomien. 

Po stiahnutí tejto škodlivej aplikácie sa spustí proces inštalácie škodlivého softvéru pomocou mechanizmu naplánovaných úloh. V neskoršej fáze tento škodlivý softvér nainštaluje komplexné ťažobné zariadenie pre kryptomenu Monero (XMR).

Ťažobný softvér používa osvedčenie o práci

Ťažobný softvér je založený na Proof of Work (PoW) ťažobný koncept, ktorý spotrebúva značné množstvo elektrickej energie. V dôsledku toho dáva kontrolórovi tejto kampane skrytý prístup k počítačom, ktoré boli infikované, čo im umožňuje podvádzať ľudí a následne poškodiť systémy.

Správa CPR tvrdí: „Po spustení malvéru sa pripojí k svojmu serveru C&C, aby získal konfiguráciu pre kryptomeny XMRig a začal ťažbu. Softvér sa dá ľahko nájsť cez Google, keď používatelia hľadajú „Google Translate Desktop download“. Aplikácie sú trojanizované a obsahujú oneskorený mechanizmus na uvoľnenie dlhej viacstupňovej infekcie.“

Podľa správ malvér Nitrokod zasiahol stroje v najmenej 11 krajinách od jeho distribúcie v roku 2019. CPR tiež tweetovala aktualizácie a varovania týkajúce sa úsilia o ťažbu kryptomien. 

Podľa Zscaler Threatlabz, vírus Joker, ďalší malvér, infikoval začiatkom tohto roka 50 aplikácií v obchode Google Play podobným prístupom. Boli rýchlo odstránené z obchodu s aplikáciami Google. Podľa tímu Zscaler ThreatLabz sa zistilo, že rodiny malvéru Joker, Facestealer a Coper sa šíria prostredníctvom aplikácií. 

Keď tím ThreatLabz okamžite informoval tím zabezpečenia Google Android o týchto novo identifikovaných nebezpečenstvách, škodlivé aplikácie boli rýchlo odstránené z obchodu Google Play.

Napriek tomu, že mnohí ľudia v kryptomenách sú znepokojení správami o možných podvodoch, nedávna štúdia ukázala, že výnosy z podvodov s kryptomenami klesli o 65 % a klesajú.