crypto

Stiekeme nep Google Translate-app installeert cryptominer op 112,000 pc's

09/01/2022
Bitcoin Ethereum Nieuws

Volgens nieuw onderzoek is cryptomining-malware sinds 2019 stiekem honderdduizenden computers over de hele wereld binnengedrongen, vaak vermomd als legitieme programma's zoals Google Translate. 

In een maandagrapport van Check Point Research (CPR), een onderzoeksteam voor de Amerikaans-Israëlische cyberbeveiligingsprovider, onthulde Check Point Software Technologies dat de malware is vliegen jarenlang onder de radar, mede dankzij het verraderlijke ontwerp dat de installatie van de crypto mijnbouw malware voor weken na de eerste softwaredownload.

Gekoppeld aan een Turkstalige softwareontwikkelaar die beweert "gratis en veilige software" aan te bieden, dringt het malwareprogramma pc's binnen via vervalste desktopversies van populaire apps zoals YouTube Music, Google Translate en Microsoft Translate.

Zodra een gepland taakmechanisme het malware-installatieproces activeert, doorloopt het meerdere dagen gestaag verschillende stappen, eindigend met een stealth Monero (XMR) crypto-mijnbouwoperatie wordt opgezet.

Het cyberbeveiligingsbedrijf zei dat de in Turkije gevestigde cryptominer genaamd 'Nitrokod' machines heeft geïnfecteerd in 11 landen.

Beeld

Volgens CPR hadden populaire softwaredownloadsites zoals Softpedia en Uptodown vervalsingen beschikbaar onder de uitgeversnaam Nitrokod INC. 

Sommige programma's waren honderdduizenden keren gedownload, zoals de nep-desktopversie van Google Translate op Softpedia, die zelfs bijna duizend recensies had, met een gemiddelde sterrenscore van 9.3 op 10, ondanks dat Google geen officiële desktop had versie voor dat programma.

Screenshot door Check Point Research van de vermeende nep-app

Volgens Check Point Software Technologies is het aanbieden van een desktopversie van apps een belangrijk onderdeel van de zwendel.

De meeste programma's die door Nitrokod worden aangeboden, hebben geen desktopversie, waardoor de vervalste software aantrekkelijk is voor gebruikers die denken dat ze een programma hebben gevonden dat nergens anders verkrijgbaar is.

Volgens Maya Horowitz, vice-president onderzoek bij Check Point Software, zijn de met malware doorzeefde vervalsingen ook beschikbaar "door een simpele zoekopdracht op internet".

"Wat voor mij het meest interessant is, is het feit dat de kwaadaardige software zo populair is, maar toch zo lang onder de radar bleef."

Op het moment van schrijven blijft Nitrokod's imitatie Google Translate Desktop-programma een van de belangrijkste zoekresultaten.

Ontwerp helpt detectie te voorkomen

De malware is bijzonder lastig te detecteren, want zelfs wanneer een gebruiker de schijnsoftware start, blijven ze niet wijzer omdat de nep-apps ook dezelfde functies kunnen nabootsen die de legitieme app biedt.

De meeste programma's van hackers kunnen eenvoudig worden gebouwd vanaf de officiële webpagina's met behulp van een op Chromium gebaseerd framework, waardoor ze functionele programma's kunnen verspreiden die met malware zijn geladen zonder ze vanaf het begin te hoeven ontwikkelen.

Zie ook: 8 stiekeme crypto-zwendel op Twitter nu

Tot nu toe zijn meer dan honderdduizend mensen in Israël, Duitsland, het Verenigd Koninkrijk, de Verenigde Staten, Sri Lanka, Cyprus, Australië, Griekenland, Turkije, Mongolië en Polen allemaal ten prooi gevallen aan de malware.

Om te voorkomen dat je wordt opgelicht door deze malware en andere soortgelijke malware, zegt Horowitz dat verschillende basisbeveiligingstips kunnen helpen het risico te verminderen.

“Pas op voor lookalike domeinen, spelfouten op websites en onbekende afzenders van e-mail. Download alleen software van geautoriseerde, bekende uitgevers of leveranciers en zorg ervoor dat uw eindpuntbeveiliging up-to-date is en uitgebreide bescherming biedt.”