Android-эмулятор Andy OS заподозрили в скрытом майнинге криптовалюты

image

Теги: Android, Andy OS, майнинг криптовалюты

Майнер без ведома пользователей устанавливается в папку C:\Program Files (x86)\Updater\updater.exe.

Один из пользователей форума Reddit, использующий псевдоним TopWire, обратил внимание, что наряду с популярным Android-эмулятором Andy OS для Windows и macOS на компьютер скрыто устанавливается вредоносная программа для добычи криптовалют за счет ресурсов графического процессора.

Согласно сообщению TopWire, майнер без ведома пользователей устанавливается в папку C:\Program Files (x86)\Updater\updater.exe. TopWire неоднократно пытался связаться по этому вопросу с разработчиками Andy OS, однако все его обращения были проигнорированы. Пользователь опубликовал видео с демонстрацией процесса установки Andy OS:

На VirusTotal инсталлятор Andy OS детектируется как одна из версий InstallCore – известного установщика рекламного ПО. Подобные установщики позволяют разработчикам бесплатного программного обеспечения зарабатывать за счет показа рекламы.

Эксперт в области безопасности Лоуренс Абрамс (Lawrence Abrams) изучил текущую версию Andy OS и выяснил, что программа устанавливается на компьютер даже после отклонения всех рекламных предложений. Он протестировал эмулятор с помощью сервиса песочницы Any.Run. Как показал анализ, в процессе установки исполняется файл GoogleUpdate.exe, запускающий файл UpdaterSetup.exe, который, в свою очередь, устанавливает программу Updater.exe и настраивает ее на автоматический запуск при входе в Windows.

Несмотря на название GoogleUpdate.exe, файл содержит описание «AndyOS Update» («Обновление AndyOS»). Судя по подписи «Andy OS Inc», файл принадлежит Andy OS Inc либо был намеренно подписан компанией.

Специалист рекомендует пользователям воздержаться от установки эмулятора Andy OS, пока разработчики не прояснят ситуацию.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus