Andy Android Emulator’de İzinsiz Kriptopara Yazılımı Bulundu

Popüler Android emülatörlerinden Andy Emulator yazılımında kripto miner zararlı yazılımı ortaya çıkarıldı.

Kripto para birimleri günümüzde oldukça popüler ve piyasa değerlerindeki artış sadece yatırımcıların değil, kötü niyetli kişilerin de dikkatini çekti. Bazı internet sitelerine eriştiğinizde tarayıcınızdan bilgisayarınızın kaynaklarını kullanıp izinsiz şekilde kripto para kazıyan işlemlerden daha önce bahsetmiştik. Bazı kötü niyetli geliştiriciler daha da ileri giderek, yaygın kullanılan yazılımların içine de kripto para kazıyan gizli işlemler yerleştirdiler. Bunun en son örneği de Andy Emulator.

Andy Android Emulator, Andy OS, AndY, Andyroid adları ile de bilinen Bluestacks alternatifi bir Android emülatörü. Bir Reddit kullanıcısı olan TopWire tarafından ortaya çıkarılan bu durum çok sayıda kullanıcıyı etkileyecek boyutta. Andy Emulator’ün içinde gizlenen GPU kripto para kazıyıcısı trojanı C:\Program Files (x86)\Updater\updater.exe dizinine Andy Emulator’ü kurduğunuzda otomatik olarak yükleniyor. Trojan kendini başlatır başlatmaz bilgisayarınızın GPU’sunu kullanarak kripto para kazmaya başlıyor.

Bu zararlı yazılımı keşfeden TopWire, Andy ekibi ile Facebook kullanıcı grubu ile defalarca iletişime geçmeye çalıştığını, ancak gruptan her seferinde engellendiğini ifade etti. Bu da zararlı yazılımın bilerek yükleme paketine eklendiğini gösteriyor.

Andy Emulator Yüklendiğinde Bilgisayarınızda Hangi Değişiklikler Oluyor ?

Andy yükleme dosyasını indirdiğiniz zaman ilk olarak karşınıza güvenlik yazılımınız tespit ettiyse bir istenmeyen yazılım uyarısıyla karşılaşıyorsunuz. İnternette dolaşan birçok programda olduğu gibi Andy Emulator’de de kurulum esnasında karşınıza çıkan ve yüklemeniz tavsiye edilen reklam yazılımları bulunuyor. Özellikle ücretsiz yazılım geliştiricileri para kazanmak için bu yöntemi sıklıkla kullanıyor.

Andy yükleyicisini çalıştırdığınızda karşınıza Avast, Search Manager Chrome Eklentisi, WinZip gibi yazılımları yüklemeniz teklif ediliyor. Bunları reddetmiş olsanız bile bahsedilen trojan yazılım bilgisayarınıza yine de kuruluyor. Reddit üzerinde paylaşılan VirusTotal raporunda olduğu gibi trojan bazı virüs programları tarafından tespit edilse de, trojanın değişik sürümleri neredeyse hiçbir virüs programı tarafından şu anda tespit edilemiyor. Updater.exe programının kaynak kodları incelendiğinde de gerçekten kripto para kazma işlemiyle ilişkili kodlar bulunmuş.

Trojan Bilgisayarınıza Nasıl Yükleniyor ?

Bu trojanın bilgisayarınıza nasıl yüklendiği ise ayrı bir araştırma konusu. Araştırmacılar tarafından yapılan testlerde Andy yükleyicisini çalıştırdığınız zaman GoogleUpdate.exe isminde bir işlem yürütülüyor. Bu işlem de UpdaterSetup.exe isminde ve trojanı bilgisayarınıza yükleyen, Windows’la birlikte otomatik başlatılmasını sağlayan programı çalıştırıyor.

GoogleUpdate.exe programının yazılımı incelendiğinde ise şaşırtıcı gerçek ortaya çıkıyor. Program AndyOS Inc. tarafından dijital olarak imzalanmış ve muhtemelen kullanıcıları ve güvenlik programlarını şaşırtmak için bilinçli olarak bu isim verilmiş. Biz de yapmış olduğumuz incelemelerde programın bu şekilde AndyOS Inc. tarafından dijital imzalı olduğunu gördük.

Programın yapmış olduğu değişiklikler TopWire tarafından bir YouTube videosunda da gösterildi.

Andy Emulator’ü Kaldırmak İçin Yapılması Gerekenler

Eğer bilgisayarınızda Andy Emulator yüklüyse programı kaldırmak için aşağıdaki adımları sırasıyla uygulayın.

• Andy Emulator ile ilişkili olan tüm işlemleri görev yöneticisinden kapatın.
• Ayarlar – Uygulamalar – Uygulamalar ve Özellikleri menüsünden Andy Emulator’ü kaldırdın.
• Andy Emulator’ü bilgisayarınızdan kaldırdığınızda bile trojan yazılım halen sisteminizde durduğu için Updater isminde olan bir işlem arayın.
• İşlemi bulduğunuzda sağ tıklayın ve “Ayrıntılara git” seçeneğine tıklayın.
• Görev yöneticisinin ayrıntılar sekmesi açılacak ve burada yer alan Updater.exe dosyasına sağ tıklayın ve “İşlem ağacını sonlandır” seçeneğine tıklayın.
• Windows Gezgini’nden C:\Program Files (x86) dizinine gidin ve Updater ismiyle yer alan klasörü Shift + Delete tuş kombinasyonunu kullanarak kalıcı olarak silin.
• Windows Gezgini’nden C:\Program Files (x86) dizinine gidin ve AndyOS ismiyle yer alan klasörü Shift + Delete tuş kombinasyonunu kullanarak kalıcı olarak silin.
• Görev yöneticisinden herhangi bir Andy hizmetinin yürütülüp yürütülmediğini tekrar kontrol edin.
• Malwarebytes güvenlik yazılımını indirip yükleyin ve geride herhangi bir dosya kalmadığından emin olmak için tam sistem taraması çalıştırın.
• CCleaner yazılımını bilgisayarınıza yükleyip çalıştırın ve “Kayıt Defteri” menüsünden sorunlar için bilgisayarınızı tarayın. Birçok Andy kayıt defteri girdisi bulunacak. Bu girdilerinin tamamını silin. Her şeyi sildiğinizden emin olmak için taramayı tekrar çalıştırabilirsiniz.

Eğer programın kaldırılması sırasında bir sorun ile karşılaşırsanız Technopat Sosyal Güvenlik bölümüne konu açarak yardım alabilirsiniz.