Une patate chaude : Il n’existe pas d’application Google Translate native pour ordinateur de bureau, mais la recherche d’une application peut faire apparaître des résultats provenant de sites Web de logiciels gratuits. Les applications se faisant passer pour Google Translate et plusieurs autres services font partie d’une arnaque conçue pour fournir des logiciels malveillants de crypto-extraction, qui prennent des mesures importantes pour se cacher de plusieurs protocoles de sécurité.
Cette semaine, le groupe de sécurité informatique Checkpoint Research (CRP) publié un rapport sur sa découverte d’une campagne de logiciels malveillants de crypto-minage se cachant derrière des applications d’apparence légitime, y compris Google Traduction. Les programmes téléchargent des logiciels malveillants tout en exécutant leurs fonctions annoncées pour gagner la confiance des utilisateurs.
Les chercheurs ont trouvé le malware du développeur turc Nitrokod sur des sites de téléchargement de logiciels populaires comme Softpedia et Uptodown, qui l’ont marqué comme sûr. Les programmes frauduleux incluent des versions de bureau de Google Translate, Yandex Translate, Microsoft Translator, YouTube Music, un téléchargeur mp3 et une application d’arrêt automatique.
Les utilisateurs qui ont téléchargé l’un de ces programmes doivent les désinstaller dès que possible et utiliser à la place les versions Web ou mobiles officielles. Aucun de ces services n’a d’applications de bureau légitimes, ce qui fait que les versions de Nitrokod semblent être les seules à se classer en tête des résultats de recherche.
Nitrokod a conçu le malware pour qu’il apparaisse légitime après l’installation. L’application Google Translate du groupe, par exemple, ressemble et fonctionne comme la page Web officielle. C’est parce que Nitrokod l’a construit en convertissant la page de Google via Chromium Embedded Framework. De plus, les applications ne commencent pas à agir de manière suspecte tout de suite. Au lieu de cela, ils attendent que l’utilisateur ait réinitialisé le système au moins quatre fois sur quatre jours différents, ce qui peut prendre des semaines, selon l’utilisateur. Checkpoint indique que cela les aide à éviter la détection de Sandbox.
Ensuite, le logiciel malveillant supprime les traces de son installation, ce qui rend plus difficile pour les utilisateurs de déterminer la source de l’activité suspecte. Le logiciel de Nitrokod vérifie également la présence de logiciels de sécurité. Il ne démarrera pas non plus le programme d’exploration de données s’il détecte des signes qu’il s’exécute sur une machine virtuelle – une précaution contre les logiciels malveillants. Après toutes ces étapes, le logiciel malveillant commence à utiliser l’ordinateur de la victime pour extraire la crypto-monnaie.
TechSpot et d’autres sites Web d’actualités technologiques hébergent souvent des téléchargements sécurisés de nombreux utilitaires utiles, y compris la version Android de Google Translate. La recherche dans ces sections est un moyen sécurisé de trouver des applications sans rencontrer de logiciels malveillants.
