Crypto-malware die zich voordoet als Google Translate-app infecteert duizenden pc's

Schadelijke software ontworpen om te minen cryptogeld heeft zich verspreid over honderden apparaten onder het uiterlijk van een Google Translate-app.

De kwaadaardige software, ook wel "Nitokod" genoemd, is ontworpen als een desktopprogramma voor Google Translate en is gebouwd door een organisatie in Turkije, volgens Check Point Research (CPR) op 29 augustus.

Bij gebrek aan een officiële desktopclient voor de Google Translate-services, heeft een groot aantal Google-gebruikers dit programma op hun computer gedownload. Wanneer dit programma op een smartphone is geïnstalleerd, begint het onmiddellijk met het opzetten van een geavanceerd cryptocurrency-miningbedrijf op dat apparaat. 

Na het downloaden van deze kwaadaardige applicatie, wordt het proces van het installeren van malware gestart via het gebruik van een gepland taakmechanisme. In een later stadium installeert deze kwaadaardige software een complexe mining-rig voor de Monero (XMR) cryptocurrency.

Mijnbouwsoftware maakt gebruik van Proof of Work

De mining-software is gebaseerd op de Proof of Work (PoW) mijnbouwconcept, dat een aanzienlijke hoeveelheid elektriciteit verbruikt. Als gevolg hiervan geeft het de controller van deze campagne geheime toegang tot de computers die zijn geïnfecteerd, waardoor ze mensen kunnen oplichten en vervolgens schade kunnen toebrengen aan de systemen.

Het CPR-rapport beweert: “Nadat de malware is uitgevoerd, maakt deze verbinding met zijn C&C-server om een ​​configuratie voor de XMRig-cryptomijnwerker te krijgen en begint de mijnbouwactiviteit. De software is gemakkelijk te vinden via Google wanneer gebruikers zoeken op 'Google Translate Desktop download'. De applicaties zijn getrojaniseerd en bevatten een vertraagd mechanisme om een ​​langdurige infectie in meerdere fasen te ontketenen.”

Volgens rapporten heeft Nitrokod-malware machines in ten minste 11 landen aangetast sinds de verspreiding in 2019. CPR heeft ook updates en waarschuwingen getweet over de cryptomining-inspanningen. 

Volgens Zscaler Threatlabz ​​infecteerde het Joker-virus, een andere malware, eerder dit jaar 50 apps in de Google Play Store op een vergelijkbare manier. Ze werden snel verwijderd uit de app store van Google. Volgens het Zscaler ThreatLabz-team werd ontdekt dat de Joker-, Facestealer- en Coper-malwarefamilies zich via applicaties verspreidden. 

Toen het ThreatLabz-team het Google Android Security-team onmiddellijk op de hoogte bracht van deze nieuw geïdentificeerde gevaren, werden de schadelijke applicaties snel verwijderd uit de Google Play Store.

Hoewel veel mensen in crypto zich zorgen maken over berichten over mogelijke oplichting, heeft een recent onderzoek aangetoond dat de inkomsten uit cryptocurrency-zwendel met 65% zijn gedaald en zijn afgenomen.