Varios usuarios en Internet están consternados con la noticia de que hubieron reportes en el que detectaron un Troyano de Minería de Criptomonedas que usaba la GPU, como motor en el popular emulador de Android Andy OS.
En la red social Reddit el usuario TopWire, informo que cuando procedió con la instalación de la aplicación, se instaló un troyano de minería de criptomonedas sin el consentimiento del usuario. Este troyano fue instalado en C:\Program Files(x86)\Updater\updater.exe el cual comienzo a utilizar el procesador de la GPU. El usuario también posteo un video en Youtube en el cual mostró el comportamiento.
"Cuando yo descargue y probé el ejecutable Andy, automáticamente vi algo que llamo mi atención. Este estaba usando un adware en su instalación, y se sabe que a veces realizan instalaciones de mineros en las computadoras sin su permiso" se lee en Bleeping Computer.
De acuerdo a Virus Total, el instalación de Andy esta siendo detectado como una Variante de InstallCore, el cual es conocido como un instalador de adware que le presenta a usuarios la instalación de otras aplicaciones gratis. Estos instaladores permiten a los desarrolladores de software libre, como Andy, generar ingresos cada vez que alguien instala su programa.
Particularmente esta aplicación, ofrece instalar aplicaciones, como Avast, Search Manager Chrome Extension, y WinZip, y aunque no instalen ninguna de estas aplicaciones, "magicamente" aparece una aplicación instalada en C:\Program Files (x86)\Updater\updater.exe, pero cuando se ejecuta aparece un error como este:
El error ocurre por que la aplicación esta corriendo sobre una máquina virtual, y esta no iene una tarjeta de video dedicado.
Descripción de la aplicación
Al probar el instalador de Andy utilizando un sandbox cualquiera, se puede ver que se ejecuta un archivo llamado GoogleUpdate.exe. Cuando se ejecuta con la línea de comando "GoogleUpdate.exe / svc", inicia otro programa llamado UpdaterSetup.exe, que instala el programa Updater.exe y lo configura para que se inicie automáticamente cuando inicie sesión en Windows.
Este programa GoogleUpdate.exe tiene una descripción de "Actualización de AndyOS", que indica que es parte de Andy. Por qué se llama GoogleUpdate no se conoce, pero siento que es extraño.
Les dejo el video donde el usuario de Reddit hace la prueba de instalación
%2014.04.55.png)
