惡意應用偽裝成桌面端Google Translate來挖礦

本周，IT 安全組織 Checkpoint Research (CRP) 發布了一份報告，稱其發現了隱藏在看起來合法的應用程序（包括Google翻譯）背后的加密挖掘惡意軟件活動。這些程序在執行其廣告功能的同時下載惡意軟件以獲得用戶的信任。

研究人員在 Softpedia 和 Uptodown 等流行的軟件下載網站上發現了來自土耳其開發商 Nitrokod 的惡意軟件，這表明它是安全的。欺詐程序包括桌面版本的Google翻譯、Yandex 翻譯、微軟翻譯、YouTube Music、mp3 下載器和自動關閉應用程序。

下載任何這些程序的用戶應盡快卸載它們，并改用官方的基于 Web 或移動版本的版本。這些服務都沒有合法的桌面應用程序，這使得 Nitrokod 的版本似乎是唯一在搜索結果中排名靠前的版本。

Nitrokod 將惡意軟件設計為在安裝后看起來是合法的。例如，該組織的Google翻譯應用程序的外觀和工作方式與官方網頁相似。那是因為 Nitrokod 通過 Chromium Embedded Framework 轉換 Google 的頁面來構建它。此外，這些應用程序不會立即開始出現可疑行為。相反，他們會等到用戶在四天內至少重置系統四次，這可能需要數周時間，具體取決于用戶。 Checkpoint 表示這有助于他們避免沙箱檢測。

之后，惡意軟件會刪除其安裝痕跡，使用戶更難確定可疑活動的來源。 Nitrokod 的軟件還會檢查是否存在安全軟件。如果它檢測到它在虛擬機上運行的跡象，它也不會啟動挖掘程序——這是對惡意軟件的一種預防措施。在所有這些步驟之后，惡意軟件開始使用受害者的計算機來挖掘加密貨幣。