Эмулятор Android Andy устанавливает на компьютеры скрытый GPU-майнер

Эмулятор Android Andy устанавливает на компьютеры скрытый GPU-майнер

Вредоносная программа, майнящая криптовалюту за счет ресурсов графического процессора, устанавливается вместе с популярным эмулятором Android для Windows и macOS Andy. Об этом сообщил пользователь Reddit.

В своем сообщении на площадке Reddit пользователь TopWire обращает внимание, что вредоносный GPU-майнер устанавливается без ведома пользователей в директорию C:\Program Files (x86)\Updater\updater.exe.

Более того, пользователь неоднократно пытался связаться с разработчиками Andy через Facebook, однако каждый раз его исключали из соответствующей группы.

На VirusTotal инсталляционный файл Andy детектируется как InstallCore — известный вариант программы-установщика рекламного ПО, который компенсирует отсутствие платы за программу демонстрацией различного рода рекламных предложений.

Эксперт, проанализировавший Andy, сообщил, что при установке ему было предложено также установить Avast, расширение для Chrome Search Manager и WinZip.

Даже после отклонения всех этих предложений программа все равно установила файл C:\Program Files (x86)\Updater\updater.exe. Однако при запуске программа выдала ошибку. Если это действительно майнер, тогда ошибка — вполне закономерное явление, так как исследователь запускал программу на виртуальной машине.

К слову, опубликованный на Reddit updater.exe детектируется как майнер.

Специалист пошел дальше, проанализировав установщик Andy при помощи сервиса песочницы Any.Run. Анализ показал, что в процессе установки выполняется файл GoogleUpdate.exe (GoogleUpdate.exe /svc), который запускает файл с именем UpdaterSetup.exe, устанавливающий программу Updater.exe и настраивающий ее на автоматический запуск при входе в Windows.

GoogleUpdate.exe содержит описание «AndyOS Update» («Обновление AndyOS»), однако почему он называется GoogleUpdate — непонятно, эксперту показалось это странным.

Более того, код файла GoogleUpdate.exe подписан Andy OS Inc, это означает, что файл принадлежит Andy OS Inc или, по крайней мере, был намеренно подписан этой компанией.

На данный момент специалисты советуют не устанавливать Andy на свои компьютеры. Ниже можно ознакомиться с видео, которое выложил пользователь Reddit. На видео показано, с чем столкнулся TopWire при установке Andy.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

WhatsApp ограничивает пересылку сообщений для борьбы с дезинформацией

Пользователи WhatsApp не раз сталкивались с дезинформацией самой разной формы, которая обычно распространялась путем многократной пересылки одного и того же сообщения. Теперь разработчики мессенджера решили устранить эту проблему, для этого был реализован механизм, который ограничивает пересылку одного сообщения до пяти раз.

Соответствующие правила уже были протестированы на пользователях из Индии — там эта функция появилась еще шесть месяцев назад. Пойти на такой шаг владельцев мессенджера заставили обвинения в постоянно распространяемой фейковой информации.

До введения этих ограничительных мер пользователи могли пересылать одно сообщение до 20 раз. Представители WhatsApp уточнили, что новые правила вводятся после того, как они были тщательно протестированы в шестимесячный период.

«Введенный лимит значительно сокращает число пересылаемых сообщений по всему миру. Это поможет WhatsApp стать более приватным мессенджером. Мы будем продолжать прислушиваться к нашим пользователям, чтобы сделать сервис еще лучше и безопаснее», — цитирует «Би-би-си» одного из представителей мессенджера.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru