Aplicación disfrazada de Google Translate instala un cripto minero en su PC

  • Check Point Research  publicó un informe donde se descubrió  un malware de cripto minería que ha invadido cientos de miles de computadoras desde 2019 bajo el disfraz de una aplicación que imita a Google Translate.
  • Este malware en especial convierte los equipos en mineros de Monero (XMR).
  • Una de las razones por las que se tardó tanto tiempo en descubrir esta estafa reside en que el malware se ejecuta por primera vez casi un mes después de haber instalado el programa.

El proveedor de ciberseguridad, Check Point Research (CPR)  ha publicado un informe donde se descubrió que un malware de cripto minería ha invadido cientos de miles de computadoras desde 2019 bajo el disfraz de una aplicación que imita a Google Translate.

Comencemos por aclarar que Google no ha lanzado una versión de escritorio oficial para Google Translate. No obstante, dado que es una de las aplicaciones más utilizadas, muchos usuarios han buscado una versión de escritorio que no existe; lo que existe son versiones no oficiales que se hacen pasar por programas legítimos.

El equipo de investigación de Check Point Software, encontró que el malware lleva por nombre “Nitrokod”, fue desarrollado por una entidad con sede en Turquía.  Aparentemente el malware está operando desde 2019 y, según CPR, ha logrado infectar equipos en 11 países.

Este malware en especial convierte los equipos en mineros de Monero (XMR).

Una gran estafa

Nitrokod ofrece una variedad de aplicaciones para escritorio de computadora que imitan a las originales de forma gratuita y, por supuesto, asegurando ser “seguro”. Algunas de las versiones de escritorio falsificadas que ofrece Nitrokod son YouTube Music, Google Translate y Microsoft Translate. ¡Todos las aplicaciones de Nitrokod están infectadas!

Precisamente dada la ausencia de versiones oficiales para escritorio de estas aplicaciones, hace que el software falsificado sea atractivo para los usuarios dado que creen haber encontrado un programa que no está disponible en ningún otro sitio.

De hecho, según CPR, no es para nada difícil crear aplicaciones falsificadas. Aparentemente con tan solo unos clicks se puede convertir la página web de Google Translate en una aplicación de escritorio. Esto le da a los criminales de ofrecer programas 100% funcionables sin siquiera desarrollarlos.

¿Cómo funciona?

Una de las razones por las que se tardó tanto tiempo en descubrir esta estafa reside en que el malware se ejecuta por primera vez casi un mes después de haber instalado el programa.

Todo comienza cuando el usuario descarga e instala el programa infectado y se inicia una aplicación disfrazada de Google Translate. Luego se elimina un archivo actualizado que inicia una serie de cuatro droppers hasta que se entrega el malware real. Básicamente se ejecutan una serie de tareas programadas que desencadenan la instalación del malware y finaliza con la configuración de una operación de cripto minería sigilosa de Monero (XMR).

La blockchain de Monero utiliza un mecanismo de consenso Proof of Work (PoW) lo que implica que consume una gran cantidad de energía. Entonces, al instalar el cripto minero en los equipos de desconocidos, los atacantes obtienen recompensas estafando a los usuarios y, probablemente, dañando a la larga los equipos.

El peligro está a un click de distancia

Como señala Maya Horowitz, vicepresidenta de investigación de Check Point Software, las aplicaciones falsificadas e infectadas de malware están disponibles con tan solo una “simple búsqueda en la web”.

De acuerdo con CPR, Softpedia y Uptodown, sitios populares de descarga de softwares, tienen falsificaciones bajo el nombre de Nitrokod INC. Y, según estos sitios de descarga, algunos programas se han descargado cientos de miles de veces.

La aplicación de escritorio falsificada de Google Translate en Softpedia tiene casi mil reseñas con una calificación de 9.3 sobre 10. ¿Cómo es posible? Pues porque el malware es sigiloso y la aplicación funciona como los usuarios esperan que lo haga, tanto así que tiene aproximadamente 3 años funcionando sin que nadie lo supiese.

Es así que más de cien mil personas en países como Estados Unidos, Australia, Turquía, Polonia, Alemania, entre otros, han sido víctimas del malware.

¿Cómo evitar caer en este tipo de peligros?

Horowitz explica que el mejor consejo es “cuidado con los dominios similares, los errores ortográficos en los sitios web y los remitentes de correo electrónico desconocidos. Solo descargue software de editores o proveedores autorizados y conocidos y asegúrese de que la seguridad de su punto final esté actualizada y brinde una protección integral”.

En caso de ser una de las personas que ha descargado versiones no oficiales de aplicaciones, CPR sugiere hacer lo siguiente para limpiar la máquina infectada:

1.-Eliminar los siguiente archivos en system31:

  • Cualquier archivo que comience con chainlink
  • nniawsoykfo.exe
  • powermanager.exe

2.- Elimina el actualizador.

  • Quite la carpeta C:\ProgramData\Nitrokod.

3.-Eliminar tareas de programación maliciosas.

  • InstallService\1
  • InstallService\2
  • InstallService\3
  • InstallService\4

Por ende, este debe ser un llamado para todos los usuarios de no descargar programas o contenidos no oficiales de Internet. Actualmente las estrategias de los hackers son extremadamente ingeniosas y, si nos descuidamos, podemos perder información, dinero y mucho más.


Te podría interesar: