Se instaló un malware disimuladamente, durante años, que permite minar Monero mediante apps de Google falsas que se hacen pasar por Google Translate y Youtube Music.
Su principal propósito es obtener criptomonedas usando recursos computacionales de sus víctimas, sin que estas se enteren.
El ataque se atribuyó a una entidad llamada Nitrokod, que se extendió por 11 países y afectó potencialmente a cientos de miles de computadoras desde 2019.
Según una investigación del proveedor de ciberseguridad estadounidense- israelí Check Point Research, el malware operó con éxito bajo el radar durante años.
Los investigadores señalaron que el virus pudo tener orígen turco debido a las fuentes de su expansión.
Dicho éxito se dio debido a que los atacantes consiguieron posicionar a las apps de Google infectadas en sitios populares como Softpedia y uptodown.
A su vez, estas aplicaciones, troyanizadas, utilizaron una modalidad que retrasa la activación del malware.
En realidad, una vez instalado el software por la víctima, pueden pasar semanas para que el malware comience a minar criptomonedas de forma silenciosa.
El proceso de infección de la computadora incorpora otra modalidad para eliminar los rastros de instalación del programa, que complica aún su detección.
Nitrokod se hace pasar por apps de Google Translate y Youtube Music.
Como indicó la investigación de Check Point Research, los atacantes podrían encontrarse detrás de una página turca que provee descarga de aplicaciones de Google "seguras y gratuitas".
No obstante, aplicaciones como Google Translate no cuentan con una versión tipo app para escritorios.
Los investigadores indicaron que parte del atractivo de esta página está en brindar de manera gratuita, aplicaciones que no se encuentren disponibles de manera oficial.
Agregaron que a menudo resulta muy fácil para los atacantes aprovechar el marco de Chromium de estas apps de Google para instalar el código infectado.
La aplicación de Google Translate fue infectada y fue descargada 111.000 de veces si se mira en uptodown o 112.000 veces según Softpedia.
Dichas cifras, pudieron ser mucho más importantes si se considera que esa aplicación fue descargada varias veces desde el sitio nitrokod.com.
También, los otros programas infectados pudieron ser descargados muchas veces desde estos sitios web.
El principal fin de los atacantes parece ser la minería de monero de una manera remota o cryptojacking, empleando recursos computacionales de otros como juguetes.
De todas formas, hay que aclarar que Monero (XMR) no es una criptomoneda establecida deliberadamente con este fin. Lo mismo ocurre con los programas que se usan para efectuar minería remota.
La investigación señaló que el procedimiento que lleva a cabo el programa malicioso incorpora la instalación sucesiva de distintos archivos, a partir del día 15 de la instalación de la app.
Desde el sexto y séptimo paso, el programa aplica 3 archivos que inician distintos procedimientos vinculados con el uso de los recursos de la computadora infectada, como memoria RAM y batería.
El archivo que controló al minero de Monero se identificó como Powermanager.exe.
Los archivos del minero de monero se identificaron como nniawsoykfo.exe (minero XMRig) y «WinRing0.sys. Mencionados dichos archivos permiten que los atacantes minen monero de una forma remota, sin que la víctima lo note.
Maya Horowitz, vicepresidenta de investigación de Check Point Research, llamó la atención que la aplicación Google Translate para escritorio está entre los primeros resultados de búsqueda.
Varias personas fueron infectadas en países como Israel, Alemania, Reino Unido y Australia.
La alerta de investigadores y medios como CriptoNoticias se enfocaron en prevenir estos actos con prácticas seguras con prácticas de seguridad básicas.
Por ejemplo, tener cuidado con dominios parecidos. Una simple falta ortográfica o alguna letra sobrante o faltante en la URL puede delatar un sitio falso.
Es aconejable descargar cualquier programa desde proveedores oficiales o autorizados. Asimismo, la promesa de que algo es muy genial encubre un potencial ataque.