Nitrokod: un malware que mina de manera sigilosa desde apps falsas que durante los últimos años de manera silenciosa ha permitido minar Monero utilizando apps de Google falsas, haciendose pasar por Google Translate y Youtube Music.
Nitrokod ha conseguido extenderse entre 11 países infectando potencialmente a cientos de miles de computadoras desde el año 2019.
A través de una investigación realizada por los proveedores de ciberseguridad estadounidense-israelí Check Point Research, el malware consiguió operar con éxito bajo el radar durante años. Los investigadores destacaron que el virus puede tener procedencia turca, debido a las fuentes de su propagación.
El software corrupto consiguió sus objetivos debido a que los atacantes lograron posicionar las apps de Google infectadas en sitios populares como Softpedia y uptodown. También, estas aplicaciones «troyanizadas» utilizan un mecanismo que consigue retrasar la activación del malware.
Una vez que la víctima ha instalado el software, pueden pasar semanas hasta que el malware comienza a actuar, minando criptomonedas de manera silenciosa. El proceso de infección actúa conjuntamente con otro mecanismo para eliminar los rastros de instalación del programa, que dificulta aún más su detección.
Apps en las que actúa Nitrokod
Según Check Point Research, los atacantes podrían estar detrás de una página turca que ofrece descarga de aplicaciones de Google «seguras y gratuitas». Sin embargo, aplicaciones como Google Translate no cuentan con una versión tipo app para escritorios.
Investigadores señalan que parte del atractivo de esta página está en ofrecer, de manera gratuita, aplicaciones que no cuentan con versiones oficiales para escritorio.
Sostienen que los atacantes pueden utilizar el marco de Chromium de estas apps de Google para instalar el código infectado, sin la necesidad de desarrollar una aplicación desde cero.
Sólo la aplicación de Google Translate infectada cuenta con más 111.000 descargas en uptodown o 112.000 según Softpedia.
Las cifras pueden ser mayores considerando que esa misma aplicación pudo haber sido descargada muchas veces desde el sitio nitrokod.com. Además, los otros programas infectados también pueden haber sido descargados muchas veces desde estos sitios web.
Cómo consigue el malware minar criptomonedas
Su objetivo principal es la minería de Monero de manera remota o mediante cryptojacking; utilizando recursos computacionales de otros para compartir funciones.
Se debe mencionar que Monero (XMR) no es una criptomoneda creada deliberadamente para este propósito ni los programas que se usan para ejecutar la minería remota.
La investigación explica que el procedimiento que lleva a cabo el programa malicioso de Nitrokod incluye la instalación sucesiva de distintos archivos, a partir del día 15 de la instalación de la app.
Durante el sexto y séptimo paso, el programa malicioso ejecuta 3 archivos que inician tres procedimientos distintos; estos, vinculados con el uso de los recursos de la computadora infectada, como memoria RAM y batería.
El archivo que controla al minero de Monero se identifica como «Powermanager.exe». Los archivos del minero de Monero se identifican como «nniawsoykfo.exe» (minero XMRig) y «WinRing0.sys». Estos archivos permiten que los atacantes minen Monero de manera remota, sin que la víctima lo perciba en muchos casos.
Noticia Recomendada:
El hackeo a Solana
