Эмулятор Android Andy устанавливает на компьютеры скрытый GPU-майнер
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Эмулятор Android Andy устанавливает на компьютеры скрытый GPU-майнер

Олег Иванов 18 Июня 2018 - 13:34
...
Эмулятор Android Andy устанавливает на компьютеры скрытый GPU-майнер

Вредоносная программа, майнящая криптовалюту за счет ресурсов графического процессора, устанавливается вместе с популярным эмулятором Android для Windows и macOS Andy. Об этом сообщил пользователь Reddit.

В своем сообщении на площадке Reddit пользователь TopWire обращает внимание, что вредоносный GPU-майнер устанавливается без ведома пользователей в директорию C:\Program Files (x86)\Updater\updater.exe.

Более того, пользователь неоднократно пытался связаться с разработчиками Andy через Facebook, однако каждый раз его исключали из соответствующей группы.

На VirusTotal инсталляционный файл Andy детектируется как InstallCore — известный вариант программы-установщика рекламного ПО, который компенсирует отсутствие платы за программу демонстрацией различного рода рекламных предложений.

Эксперт, проанализировавший Andy, сообщил, что при установке ему было предложено также установить Avast, расширение для Chrome Search Manager и WinZip.

Даже после отклонения всех этих предложений программа все равно установила файл C:\Program Files (x86)\Updater\updater.exe. Однако при запуске программа выдала ошибку. Если это действительно майнер, тогда ошибка — вполне закономерное явление, так как исследователь запускал программу на виртуальной машине.

К слову, опубликованный на Reddit updater.exe детектируется как майнер.

Специалист пошел дальше, проанализировав установщик Andy при помощи сервиса песочницы Any.Run. Анализ показал, что в процессе установки выполняется файл GoogleUpdate.exe (GoogleUpdate.exe /svc), который запускает файл с именем UpdaterSetup.exe, устанавливающий программу Updater.exe и настраивающий ее на автоматический запуск при входе в Windows.

GoogleUpdate.exe содержит описание «AndyOS Update» («Обновление AndyOS»), однако почему он называется GoogleUpdate — непонятно, эксперту показалось это странным.

Более того, код файла GoogleUpdate.exe подписан Andy OS Inc, это означает, что файл принадлежит Andy OS Inc или, по крайней мере, был намеренно подписан этой компанией.

На данный момент специалисты советуют не устанавливать Andy на свои компьютеры. Ниже можно ознакомиться с видео, которое выложил пользователь Reddit. На видео показано, с чем столкнулся TopWire при установке Andy.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Подросток поджег кинотеатр под влиянием угроз через онлайн-игры
Яков Шпунт 14 Ноября 2025 - 11:02
МошенничествоОнлайн-мошенничество Домашние пользователи
Подросток поджег кинотеатр под влиянием угроз через онлайн-игры

Подросток, устроивший поджог в кинотеатре ТЦ «Авиапарк», действовал под влиянием угроз со стороны других участников онлайн-игр. Инцидент произошёл в четверг вечером: подросток пронёс в кинозал емкость с легковоспламеняющейся жидкостью и поджёг её. По данным прокуратуры, он «находился под влиянием неизвестных».

Об этом сообщила прокуратура Москвы. Как заявила официальный представитель МВД Ирина Волк, сотрудники полиции доставили подростка в ОМВД России по Хорошевскому району Москвы.

Она также уточнила место происшествия — кинотеатр в ТЦ «Авиапарк». По данным ведомств, никто не пострадал: возгорание быстро ликвидировали, повреждены лишь несколько кресел.

Однако, как пишут телеграм-каналы, пожарная сигнализация не сработала, оповещение не было подано, эвакуацию в торговом центре не проводили.

Как рассказал телеграм-каналу Baza отец подростка, на его действия могли повлиять угрозы, которые сын получал от участников онлайн-игр. По его словам, подросток проводил много времени в мессенджерах.

Накануне происшествия, по словам родителей, он ушёл из дома и долго не выходил на связь. Они обратились в правоохранительные органы. При этом, как утверждают родители, никаких тревожных признаков раньше не замечали.

В этом году злоумышленники резко активизировали атаки на российских детей и подростков. Их главные цели — кража средств у семей и вовлечение несовершеннолетних в преступные схемы: от использования в качестве дропов и аренды их аккаунтов в соцсетях и мессенджерах до участия в перевозке похищенных денег. Игровые чаты остаются одним из основных каналов общения преступников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Поправки об обязательном импортозамещении для КИИ не заработали
Новость
Поправки об обязательном импортозамещении для КИИ не заработ...
Ворующий криптовалюту троян Danabot вернулся, отрастив новые головы
Новость
Ворующий криптовалюту троян Danabot вернулся, отрастив новые...
Атаки с помощью дипфейков становятся массовыми
Новость
Атаки с помощью дипфейков становятся массовыми

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.