惡意應用偽裝成桌面端Google Translate來挖礦
儘管Google Translate 從未推出過桌面端版本,但是用戶搜索就可能會在結果頁面看到一些免費軟件網站提供下載。偽裝成Google Translate 和其他Google 服務的應用程序往往在很大程度上存在惡意,其中最廣泛的是用於加密挖礦。
本週,IT 安全組織Checkpoint Research (CRP)發布了一份報告,稱其發現了隱藏在看起來合法的應用程序(包括Google翻譯)背後的加密挖掘惡意軟件活動。這些程序在執行其廣告功能的同時下載惡意軟件以獲得用戶的信任。
研究人員在Softpedia 和Uptodown 等流行的軟件下載網站上發現了來自土耳其開發商Nitrokod 的惡意軟件,這表明它是安全的。欺詐程序包括桌面版本的Google翻譯、Yandex 翻譯、微軟翻譯、YouTube Music、mp3 下載器和自動關閉應用程序。
下載任何這些程序的用戶應盡快卸載它們,並改用官方的基於Web 或移動版本的版本。這些服務都沒有合法的桌面應用程序,這使得Nitrokod 的版本似乎是唯一在搜索結果中排名靠前的版本。
Nitrokod 將惡意軟件設計為在安裝後看起來是合法的。例如,該組織的Google翻譯應用程序的外觀和工作方式與官方網頁相似。那是因為Nitrokod 通過Chromium Embedded Framework 轉換Google 的頁面來構建它。此外,這些應用程序不會立即開始出現可疑行為。相反,他們會等到用戶在四天內至少重置系統四次,這可能需要數週時間,具體取決於用戶。Checkpoint 表示這有助於他們避免沙箱檢測。
之後,惡意軟件會刪除其安裝痕跡,使用戶更難確定可疑活動的來源。Nitrokod 的軟件還會檢查是否存在安全軟件。如果它檢測到它在虛擬機上運行的跡象,它也不會啟動挖掘程序——這是對惡意軟件的一種預防措施。在所有這些步驟之後,惡意軟件開始使用受害者的計算機來挖掘加密貨幣。