Android-эмулятор Andy OS заподозрили в скрытом майнинге криптовалюты
Один из пользователей форума Reddit, использующий псевдоним TopWire, обратил внимание, что наряду с популярным Android-эмулятором Andy OS для Windows и macOS на компьютер скрыто устанавливается вредоносная программа для добычи криптовалют за счет ресурсов графического процессора.
Согласно сообщению TopWire, майнер без ведома пользователей устанавливается в папку C:Program Files (x86)Updaterupdater.exe. TopWire неоднократно пытался связаться по этому вопросу с разработчиками Andy OS, однако все его обращения были проигнорированы. Пользователь опубликовал видео с демонстрацией процесса установки Andy OS:
На VirusTotal инсталлятор Andy OS детектируется как одна из версий InstallCore – известного установщика рекламного ПО. Подобные установщики позволяют разработчикам бесплатного программного обеспечения зарабатывать за счет показа рекламы.
Эксперт в области безопасности Лоуренс Абрамс (Lawrence Abrams) изучил текущую версию Andy OS и выяснил, что программа устанавливается на компьютер даже после отклонения всех рекламных предложений. Он протестировал эмулятор с помощью сервиса песочницы Any.Run. Как показал анализ, в процессе установки исполняется файл GoogleUpdate.exe, запускающий файл UpdaterSetup.exe, который, в свою очередь, устанавливает программу Updater.exe и настраивает ее на автоматический запуск при входе в Windows.
Несмотря на название GoogleUpdate.exe, файл содержит описание «AndyOS Update» («Обновление AndyOS»). Судя по подписи «Andy OS Inc», файл принадлежит Andy OS Inc либо был намеренно подписан компанией.
Специалист рекомендует пользователям воздержаться от установки эмулятора Andy OS, пока разработчики не прояснят ситуацию.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш