Valse Google Translate-app installeert Crypto Miner op pc's

Nep Google Translate-app installeert cryptominer op pc's volgens een nieuwe studie die zegt dat de malware sinds 2019 honderden miljoenen computers wereldwijd heeft geïnfiltreerd.

Check Point Software Technologies ontdekte dat het virus al jaren onopgemerkt actief is in een paper dat maandag is vrijgegeven door Check Point Research (CPR), een onderzoeksteam van het Amerikaans-Israëlische cyberbeveiligingsbedrijf. Dit is gedeeltelijk te wijten aan het sluwe ontwerp van de malware, waardoor de installatie van de cryptomining-malware weken wordt uitgesteld na de oorspronkelijke softwaredownload.

.@_CPResearch_ gedetecteerd a #crypto mijnwerker #malware campagne, die mogelijk duizenden machines wereldwijd heeft geïnfecteerd. Nagesynchroniseerd als 'Nitrokod', werd de aanval aanvankelijk gevonden door Check Point XDR. Bekijk hier de details: https://t.co/MeaLP3nh97 #cryptogeld #TechnologieNieuws #CyberSec pic.twitter.com/ANoeI7FZ1O

— Check Point-software (@CheckPointSW) 29 Augustus 2022

De kwaadaardige applicatie, die is gekoppeld aan een Turks sprekende softwareontwikkelaar die beweert "gratis en veilige software" aan te bieden, infiltreert pc's via valse desktopversies van populaire programma's zoals YouTube Music, Google Translate en Microsoft Translate. De Fake Google Translate-app installeert cryptominer op pc's en heeft tot nu toe miljoenen computers in de wereld geïnfecteerd.

Zodra een gepland taakmechanisme het malware-installatieproces initieert, doorloopt het verschillende fasen gedurende meerdere dagen, met als hoogtepunt de oprichting van een geheime Monero (XMR) crypto-mijnbouwoperatie.

Volgens het cyberbeveiligingsbedrijf heeft de in Turkije gevestigde cryptominer genaamd 'Nitrokod' pc's in 11 landen geïnfecteerd.

Volgens CPR werden vervalsingen aangeboden op prominente softwaredownloadsites zoals Softpedia en Uptodown onder de publicatienaam Nitrokod INC.

Sommige apps waren honderdduizenden keren gedownload, zoals de nep-desktopversie van Google Translate op Softpedia, die bijna duizend recensies en een sterrenscore van 9.3 op 10 had, ondanks het feit dat Google geen officiële desktopversie voor die software.

Volgens Check Point Software Technologies is het aanbieden van een desktopversie van programma's een belangrijk onderdeel van de zwendel.

De meeste Nitrokod-apps hebben geen desktopversie, waardoor de vervalste software aantrekkelijk is voor klanten die denken dat ze een programma hebben ontdekt dat nergens anders toegankelijk is.

Volgens de vice-president van onderzoek van Check Point Software, Maya Horowitz, zijn de met malware geïnfecteerde vervalsingen ook beschikbaar "via een eenvoudige zoekopdracht op internet".

"Wat voor mij het meest interessant is, is het feit dat de kwaadaardige software zo populair is, maar toch zo lang onder de radar bleef."

Op het moment van schrijven is Nitrokod's spoof Google Translate Desktop-software nog steeds een van de beste zoekresultaten.

Het ontwerp helpt detectie te voorkomen

Het virus is bijzonder moeilijk te detecteren, want zelfs wanneer een gebruiker de schijnsoftware start, zijn ze zich er niet van bewust omdat de valse apps dezelfde mogelijkheden kunnen nabootsen die het authentieke programma biedt.

De meeste apps van de hacker worden gemakkelijk gegenereerd van legitieme websites met behulp van een op Chromium gebaseerd framework, waardoor ze functionerende programma's vol malware kunnen verspreiden zonder ze helemaal opnieuw te hoeven ontwikkelen.

Tot nu toe heeft het virus meer dan 100,000 mensen besmet in Israël, Duitsland, het Verenigd Koninkrijk, de Verenigde Staten, Sri Lanka, Cyprus, Australië, Griekenland, Turkije, Mongolië en Polen.

Lesen Sie hier laatste crypto-nieuws.