Il malware crittografico che impersona l'app Google Translate infetta migliaia di PC

Software dannoso progettato per il mining criptovaluta si è diffuso su centinaia di dispositivi sotto l'aspetto di un'app Google Translate.

Il software dannoso, denominato "Nitokod", è stato progettato come programma desktop per Google Translate ed è stato creato da un'organizzazione con sede in Turchia, secondo Check Point Research (CPR) il 29 agosto.

In mancanza di un client desktop ufficiale per i servizi di Google Translate, un gran numero di utenti di Google ha scaricato questo programma sui propri computer. Quando questo programma viene installato su uno smartphone, inizia immediatamente a creare una sofisticata attività di mining di criptovalute su quel dispositivo. 

Dopo il download di questa applicazione dannosa, il processo di installazione del malware viene avviato tramite l'uso di un meccanismo di attività pianificata. In una fase successiva, questo software dannoso installa un complesso impianto di mining per la criptovaluta Monero (XMR).

Il software di mining utilizza Proof of Work

Il software di mining si basa sulla Proof of Work (PoW) concetto minerario, che consuma una quantità significativa di elettricità. Di conseguenza, offre al controllore di questa campagna l'accesso nascosto ai computer che sono stati infettati, consentendo loro di truffare le persone e successivamente causare danni ai sistemi.

Il rapporto CPR afferma: "Dopo che il malware è stato eseguito, si connette al suo server C&C per ottenere una configurazione per il crypto miner XMRig e avvia l'attività di mining. Il software può essere facilmente trovato tramite Google quando gli utenti cercano "Download desktop di Google Translate". Le applicazioni sono trojanizzate e contengono un meccanismo ritardato per scatenare una lunga infezione a più stadi".

Secondo i rapporti, il malware Nitrokod ha colpito le macchine in almeno 11 paesi dalla sua distribuzione nel 2019. CPR ha anche twittato aggiornamenti e avvisi relativi allo sforzo di mining di criptovalute. 

Secondo Zscaler Threatlabz, il virus Joker, un altro malware, ha infettato 50 app sul Google Play Store all'inizio di quest'anno con un approccio simile. Sono stati rapidamente eliminati dall'app store di Google. Secondo il team di Zscaler ThreatLabz, è stato scoperto che le famiglie di malware Joker, Facestealer e Coper si propagano tramite applicazioni. 

Quando il team di ThreatLabz ha prontamente informato il team di sicurezza di Google Android di questi pericoli appena identificati, le applicazioni dannose sono state rapidamente rimosse dal Google Play Store.

Tuttavia, anche se molte persone nel settore delle criptovalute sono preoccupate per i rapporti su possibili truffe, uno studio recente ha dimostrato che le entrate delle truffe in criptovaluta sono diminuite del 65% e sono diminuite.