Crypto-mining malware heeft op sluwe wijze honderdduizenden computers over de hele wereld geïnfecteerd. Uit nieuw onderzoek blijkt dat deze software vaak vermomd als legitiem programma binnenkomt, bijvoorbeeld als een Google Translate applicatie.
Al jaren op de radar
In het onderzoeksrapport van 29 augustus van Check Point Research (CPR), een cyber-security bedrijf, staat dat de malware vaak jarenlang onder de radar blijft. Mede dankzij het ingenieuze ontwerp van de applicaties, die aan het oppervlak prima lijkt te functioneren. Als je echter de code induikt van bijvoorbeeld de ‘Google Translate applicatie’ in kwestie, dan ontdek je al snel dat er zich achter de schermen veel meer afspeelt.
Het ontwerp van de applicaties is zo goed, dat de mining-software pas enkele weken na de initiële installatie van de app geactiveerd wordt. Dat maakt het nog lastiger om te ontdekken dat het vertragen van je computer te maken heeft met de malware, want die draaide immers al een paar weken zonder problemen. Zodra de installatie van de mining-software start, gaat het programma verdeeld over een paar dagen alle stappen door. Uiteindelijk draait er dan een goed verstopte Monero-miner op je computer.
Computers geïnfecteerd in 11 landen
De software die leeft onder de naam ‘Nitrokod’ is volgens het cyber-security bedrijf actief in 11 verschillende landen. Sommige van de programma’s zijn enkele honderdduizenden keren gedownload. De Google Translate Desktop applicatie op Softpedia heeft bijvoorbeeld bijna duizend reviews met een gemiddelde score van 9,3/10. Frappant is dat Google zelf niet eens een officiële desktop applicatie voor Google Translate heeft.
Volgens Check Point Research, het cyber-security bedrijf, is het aanbieden van desktop-versies van applicaties een belangrijk onderdeel van de oplichterij. De meeste programma’s die Nitrokod aanbiedt, hebben namelijk geen desktop versie. Hierdoor denken onwetende gebruikers dat ze een fantastisch programma hebben gevonden dat nergens anders beschikbaar is. “Het meest interessante aan deze kwestie voor mij is dat deze applicaties zo populair zijn, maar tegelijkertijd zo lang onder de radar zijn gebleven”, aldus Maya Horowitz van Check Point Research.
112.000 computers prooi van de malware
Tot nu toe zijn er meer dan 112.000 computers ten prooi gevallen aan de Nitrokod malware. Het gaat om mensen uit Israël, Duitsland, het Verenigd Koninkrijk, Amerika, Sri Lanka, Cyprus, Australie, Griekenland, Turkije, Mongolië en Polen. Het is echter meer dan waarschijnlijk dat er ook Nederlanders zijn die de software op hun computer hebben. Check Point Research heeft de software ontdekt, maar de kans is klein dat hiermee meteen het volledige ‘schadeplaatje’ in kaart is gebracht.
Om te voorkomen dat je slachtoffer wordt van deze vorm van oplichting, heeft Maya Horowitz enkele eenvoudige tips. “Wees scherp op websites die lijken op een officiële website, controleer altijd de domeinnaam en open nooit emails van verzenders die je niet herkent. Download alleen software van geautoriseerde partijen, bekende verkopers en zorg ervoor dat je anti-virus software altijd up-to-date is”, aldus Horowitz over de manieren om deze scam te voorkomen.
Check Point Research heeft met dit onderzoek één groep van oplichters weten te ontmaskeren, maar de kans is aanwezig dat er nog vele andere programma’s onder de radar leven. Dit geval maakt eens te meer duidelijk dat het internet niet per definitie een veilige plaats is en dat het belangrijk is om tijd te investeren in een goede beveiliging.