A hamis Google Fordító alkalmazás a Crypto Miner programot telepíti számítógépekre

Egy új tanulmány szerint a hamis Google Fordító alkalmazás titkosítási bányászt telepít a számítógépekre, amely szerint a kártevő 2019 óta számítógépek százmillióira hatolt be világszerte.

A Check Point Software Technologies az amerikai-izraeli kiberbiztonsági cég kutatócsoportja, a Check Point Research (CPR) hétfőn közzétett tanulmánya szerint a vírus évek óta észleletlenül működik. Ez részben a kártevő ravasz tervezésének köszönhető, amely az eredeti szoftverletöltés után hetekkel elhalasztja a kriptobányász kártevő telepítését.

.@_CPResearch_ észlelt a #crypto bányász #rosszindulatú kampány, amely potenciálisan több ezer gépet fertőzött meg világszerte. A „Nitrokod” névre keresztelt támadást eredetileg a Check Point XDR találta meg. A részleteket itt találja: https://t.co/MeaLP3nh97 #kriptovaluta #Technológiai Hírek #CyberSec pic.twitter.com/ANoeI7FZ1O

- Check Point szoftver (@CheckPointSW) 29. augusztus 2022.

A rosszindulatú alkalmazás, amely egy törökül beszélő szoftverfejlesztőhöz kapcsolódik, aki azt állítja, hogy "ingyenes és biztonságos szoftvert" kínál, a népszerű programok, például a YouTube Music, a Google Fordító és a Microsoft Fordító hamis asztali verzióin keresztül beszivárog a számítógépekre. A hamis Google Fordító alkalmazás kriptobányászt telepít számítógépekre, eddig számítógépek millióit fertőzte meg a világon.

Amint egy ütemezett feladatmechanizmus elindítja a rosszindulatú program telepítési folyamatát, az több napon keresztül különböző fázisokon megy keresztül, amelyek egy titkos rendszer létrehozásával zárulnak. Monero (XMR) kripto-bányászati ​​művelet.

A kiberbiztonsági cég szerint a török ​​székhelyű „Nitrokod” nevű kriptobányász 11 országban fertőzte meg a számítógépeket.

A CPR szerint a hamisításokat olyan neves szoftverletöltő oldalakon kínálták fel, mint a Softpedia és az Uptodown, Nitrokod INC kiadványnéven.

Néhány alkalmazást több százezer alkalommal töltöttek le, például a Google Fordító hamis asztali verzióját a Softpedián, amely majdnem ezer véleményt kapott, és 9.3/10 csillagot kapott, annak ellenére, hogy a Google nem rendelkezik a szoftver hivatalos asztali verziója.

A Check Point Software Technologies szerint az átverés fontos összetevője a programok asztali verziójának felajánlása.

A legtöbb Nitrokod alkalmazásnak nincs asztali verziója, így a hamisított szoftver csábítóvá teszi azokat az ügyfeleket, akik úgy vélik, hogy olyan programot fedeztek fel, amely sehol máshol nem érhető el.

A Check Point Software kutatási alelnöke, Maya Horowitz szerint a rosszindulatú programokkal fertőzött hamisítványok „egy egyszerű internetes kereséssel” is elérhetők.

„Számomra az a legérdekesebb, hogy a rosszindulatú szoftver olyan népszerű, mégis olyan sokáig a radar alatt volt.”

Jelen pillanatban a Nitrokod hamis Google Translate Desktop szoftvere még mindig az egyik legjobb keresési eredmény.

A kialakítás segít elkerülni az észlelést

A vírust különösen nehéz felismerni, mivel a felhasználó még akkor sem tudja, ha elindítja az álszoftvert, mert a hamis alkalmazások megismételhetik az eredeti program által biztosított képességeket.

A hackerek alkalmazásainak többsége Chromium-alapú keretrendszert használó, legális webhelyekről generálható, lehetővé téve számukra, hogy működő, rosszindulatú programokkal teli programokat terjeszthessenek anélkül, hogy azokat a semmiből kellene kifejleszteniük.

A vírus eddig több mint 100,000 XNUMX embert fertőzött meg Izraelben, Németországban, az Egyesült Királyságban, az Egyesült Államokban, Srí Lankán, Cipruson, Ausztráliában, Görögországban, Törökországban, Mongóliában és Lengyelországban.

Olvassa el a legújabb kriptográfiai hírek.