Vírus em apps para Windows podem ficar um mês escondidos antes de agir

Um minerador de criptomoedas embutido em apps para Windows usa o poder computacional das vítimas para garantir lucro a criminosos na operação da entidade turca Nitrokod. Capaz de se manter inativo no computador por até um mês antes de começar a agir — e, assim, escapar da detecção — ele é distribuído como Google Tradutor, YouTube Music ou ferramentas para download de MP3s.

• Google remove 17 apps de roubo de senhas da Play Store; veja quais são

• Golpe usa fatura falsa para distribuir vírus bancário; veja como se proteger

Segundo especialistas da Check Point Research, milhares de máquinas foram contaminadas em 11 países. Em geral, é oferecido em sites de download de aplicações gratuitas, como Softpedia e uptodown. Como esses serviços são considerados legítimos, os apps aparecem com destaque em resultados de buscas.

Os softwares envolvidos são:

• Google Translate Desktop

• Microsoft Translate Desktop

• MP3 Download Manager

• PC Auto Shutdown

• Yandex Translate Desktop

• YouTube Music Desktop

Como os aplicativos cumprem a função a que se destinam, a contaminação ocorre mais facilmente. Os arquivos resultantes são apagados após a disseminação, o que restringe os rastros no equipamento ao mínimo. A ação está em andamento há pelo menos dois anos graças a essa tática.

Isso ajudou, ainda, a ampliar o alcance da operação: na Softpedia, a versão falsa do Google Tradutor acumulou mais de 112 mil downloads antes de ser detectada. A sofisticação é nítida: os servidores online controlados pelos cibercriminosos até enviam atualizações para os softwares fraudulentos e para os arquivos maliciosos.

Isso ocorre em diferentes etapas. O material pode se disfarçar como componente do sistema operacional até receber os comandos de mineração de criptomoedas — e passar a garantir rendimentos aos golpistas. Configurações avançadas controlam até quanto processamento será usado para evitar que o usuário perceba a invasão.

A operação Nitrokod usa um navegador adaptado baseado em Chromium para exibir a interface web dos serviços em uma janela. Isso permite que os criminosos distribuam apps funcionais sem precisarem desenvolver nada.

A reportagem da Itatiaia entrou em contato com a Microsoft para saber como a empresa tem lidado com a situação, mas ainda não recebeu retorno. Assim que a companhia responder, este conteúdo será atualizado.

Como se proteger

A Check Point aponta que a operação de mineração pode ser apenas um exemplo das possibilidades da Nitrokod, que pode receber malwares mais perigosos. A recomendação de segurança, então, é evitar o download de soluções fora das lojas oficiais: não use serviços que não tenham versão dedicada para desktop.

Para os mineradores de criptomoedas, lentidões repentinas no computador são sinais de que há algo errado. Usuários avançados podem monitorar os processos, enquanto usuários comuns devem procurar manter o sistema operacional e os apps atualizados, bem como uma solução de segurança.