恶意软件从虚假的 Google 应用程序中偷偷地挖矿加密货币
关键事实:
-
攻击传播的网站提供谷歌翻译和 YouTube 音乐应用程序。
-
这次袭击影响了数十万人,始于 2019 年。
多年来,恶意软件一直在悄悄安装一个程序,该程序允许通过伪装成谷歌翻译和 YouTube 音乐的假谷歌应用程序挖矿门罗币。 它的目标是使用受害者的计算资源来获取加密货币,而他们没有意识到这一点。
该攻击归因于一个名为 Nitrokod 的实体,该实体已遍布 11 个国家/地区,自 2019 年以来可能感染数十万台计算机。
根据美国-以色列网络安全提供商 Check Point Research 的研究,该恶意软件“已在雷达下成功运行多年”。 研究人员指出,由于其传播来源,该病毒可能起源于土耳其。
它的成功是由于攻击者设法将受感染的谷歌应用程序定位在热门网站上,如 Softpedia 和 uptodown。 此外,这些“特洛伊木马”应用程序使用了一种延迟恶意软件激活的机制。
事实上,一旦受害者安装了软件,恶意软件可能需要数周时间才能启动,默默地挖矿加密货币。 计算机感染过程包括另一种删除程序安装痕迹的机制,使检测更加困难。
Nitrokod 冒充 Google 翻译和 YouTube 音乐应用程序
正如 Check Point Research 所指出的那样,攻击者可能在一个土耳其页面背后,该页面提供“安全和免费”谷歌应用程序的下载。 然而,像谷歌翻译这样的应用程序没有适用于桌面的应用程序类型版本。
研究人员指出,该页面的部分吸引力在于它免费提供了非官方提供的应用程序(尽管这恰恰是对欺诈的警告)。
nitrokod.com 网站上提供了这些可能感染了隐形门罗币挖矿的应用程序。 资料来源:nitrokod.com。
他们补充说,这些攻击者有时很容易使用这些 Google 应用程序的 Chromium 框架来安装受感染的代码,而无需从头开始开发应用程序。 根据 Softpedia 的数据,如果在 uptodown 上查看或 112,000 次,仅受感染的(和假的)谷歌翻译应用程序就被下载了 111,000 次。
调查仅显示假谷歌翻译应用程序的下载量数据,感染人数可能更高。 资料来源:Check Point Research。
考虑到同一个应用程序可能已经从 nitrokod.com 网站下载了很多次,这些数字可能要高得多。 此外,其他受感染的程序也可能已从这些网站多次下载。
Nitrokod 程序安装恶意软件缓慢
攻击者的主要目标似乎是远程挖矿门罗币或加密货币劫持,使用他人的计算资源作为傀儡。 但是,应该注意的是,门罗币(XMR)不是为此目的而故意创建的加密货币。 用于运行远程挖矿的程序也没有。
对此,调查表明,Nitrokod 恶意程序执行的程序包括从应用程序安装的第 15 天开始连续安装不同的文件。
在第六步和第七步中,恶意程序执行 3 个文件,这些文件启动了三个不同的程序,这些程序与受感染计算机资源的使用有关,例如 RAM 内存和电池。
控制门罗币矿工的文件被标识为“Powermanager.exe”。 门罗币矿工文件被标识为“nniawsoykfo.exe”(XMRig 矿工)和“WinRing0.sys”。
研究人员通过修改后的谷歌翻译应用程序的代码确定了恶意软件的机制。 资料来源:Check Point Research。
这些文件允许攻击者远程挖矿门罗币,在许多情况下,受害者不会注意到。
防止恶意软件攻击
根据 Check Point Research 研究副总裁 Maya Horowitz 的说法,令人惊讶的是,Google Translate 桌面应用程序(不作为官方资源存在)是热门搜索结果之一。
许多人在以色列、德国、英国和澳大利亚等国家被感染。 来自 CriptoNoticias 等研究人员和媒体的警告侧重于通过基本的安全实践来防止这些行为。
例如,小心类似的域。 URL 中的简单拼写错误或任何额外或缺失的字母都可能泄露虚假网站。 最好从官方或授权提供商处下载任何程序或文件。 此外,很多时候,一些非常酷的东西的承诺掩盖了潜在的攻击。