Der Android-Emulator Andy OS scheint mal mit einem Krypto-Miner verseucht gewesen zu sein. Keine Ahnung, ob jemand von euch diesen Emulator einsetzt. Hier ein paar Informationen.
Anzeige
Ich weiß nicht, wie es euch geht. Früher habe ich viel mit virtualisierten Android Testabbildern experimentiert. Virtualbox und android-x86 sind die Stichworte – mit anderen Emulatoren wurde ich nie warm. Daher habe ich auch kein Andy OS als Android-Emulator genutzt (häufig setzten solche Lösungen auf android-x86 und Virtualbox auf).
Zufällige Entdeckung
Der Anbieter bewirbt das Andy OS Ganze als 'The Best PC Emulator for PC & Mac", mit dem man auf dem Desktop Android-Apps fahren könne. Nun stoße ich bei Bleeping Computer auf die Info, dass Andy OS einen GPU Miner enthalten habe. Losgetreten hat ein Nutzer das Ganze mit einem Post auf reddit.com. Der Benutzer war auf der Suche nach einem Android Emulator und stieß auf eine Android Authority Liste der 15 besten Android Emulatoren für PC. Bereits bei der Installation musste das Angebot, Yahoo mit einzurichten, abgelehnt werden (siehe Screenshot).
(Adware im Andy OS-Installer, Quelle: Bleeping Computer)
Kurz nach der Installation von Andy OS bemerkte der Nutzer, dass Spiele plötzlich in sporadischen Abständen Frame-Drops aufwiesen. Bei der Überprüfung der GPU-Nutzung und der Temperatur stellt er fest, dass die GPU bei ca. 80% Last verharrte und bereit Temperaturen von 80+ Grad Celsius beim Spielen aufwies. Das war ungewöhnlich für das Setup des Benutzers, wie dieser schreibt. Ein Blick in den Task-Manager offenbarte, dass ein Prozess updater.exe sehr viel GPU-Leistung verbrauchte. Nach weiterer Inspektion war klar, dass dieser Prozess zusammen mit Andy installiert wurde.
(Quelle: Youtube.com)
Der Nutzer hat ein Video erstellt, welches das Ganze verdeutlichen soll. Auf reddit.com hat er auch eine Anleitung gepostet, wie man das Ganze durch Deinstallation von Andy OS und nachgeordneten Aktivitäten wieder los wird.
Vorsatz der Andy OS-Entwickler?
Der Nutzer schreibt, dass er die Entwickler von Andy OS kontaktiert habe – könnte ja sein, dass deren Server zufällig infiziert wurde. Die Rückmeldung war, dass man sich das Ganze ansehen wolle. Aber es scheint wohl bereits vorher Meldungen über 'Unregelmäßigkeiten' gegeben zu haben, ohne das etwas passiert ist. Dieser reddit.com-Beitrag ist bereits 3 Monate alt.
Nach einem Kontakt des Autors mit Android Authority konnten die Redakteure bestätigen, dass etwas 'mysteriöses' mit Andy OS vorgehen und nahmen den Emulator aus der Liste der Top 15 Emulatoren heraus.
Anzeige
Der Autor berichtet auf reddit.com, dass einer der Andy OS-Entwickler (Ghazi) Leute, die über einen Bitcoin-Miner in Andy OS berichteten, dazu drängt, keine solchen Behauptungen zu verbreiten. Der Emulator würde keine Bitcoins schürfen, sondern in einer älteren Version des Emulators wäre Code, der die Blockchain-Technologie verwende. Macht aber keinen Sinn, denn Andy OS ist nichts anderes als ein Virtualisierer, in dem ein Android x86 ROM läuft. Es wurde von den Entwicklern auch kolportiert, dass man ja einen Installer eines Drittanbieters einsetze – möglicherweise sei da was 'passiert'. Alles irgendwie verworren.
Inzwischen hat der Benutzer auf reddit.com einen Nachtrag verfasst. Er hatte nochmals bei den Andy OS-Entwicklern im Forum nachgehakt, warum die infizierte Version weiter ausgeliefert werde. Kurze Zeit später wurde dieser Beitrag aus dem Forum entfernt. Weitere Analysen ergaben, dass der Andy OS-Installer nichts von updater.exe auf das System bringt. Andy OS selbst kontaktiert die IP-Adresse des Servers, um den Bitcoin-Miner herunter zu laden. Der reddit-Nutzer schließt daraus, dass die Andy OS-Entwickler kein Interesse daran haben, das Problem zu beheben. Wenn das stimmt, dürfte das Ganze wohl Vorsatz sein.
Zweite Meinung von Bleeping Computer
Ich erspare mir an dieser Stelle eigene Tests. Bei Bleeping Computer hat man Andy OS zum Test installiert und den Installer bei VirusTotal als InstallCore Variante identifiziert (ein Adware-Installer). Selbst nach Ablehnung aller Adware beim Installationsvorgang wurde eine Datei:
C:\Program Files (x86)\Updater\updater.exe
auf dem System installiert. Dabei handelt es sich um einen GPU Krypto-Miner. Da die VM, die Bleeping Computer zum Test benutzte, keine eigene GPU enthält, wirft der updater.exe aber nur eine Fehlermeldung.
(Signatur des GoogleUpdate.exe-Prozesses, Quelle: Bleeping Computer)
Bei Bleeping Computer schreibt man, dass die betreffenden Dateien des Updaters von Andy OS Inc digital signiert seien (obiger Screenshot). Bleeping Computer rät momentan von der Verwendung des Emulators Andy OS ab. Dem schließe ich mich unter diesen Aspekten bis auf weiteres an. Frage: Irgend jemand von euch, der Andy OS eingesetzt hat?
2015
Ich komme noch nicht mal auf die Herstellerseite. Mein AV-Programm hat etwas dagegen.
Seltsamer weise komme ich hin, habe die Seite aber jetzt mal gemeldet, mal sehen ob sich da in nächster zeit etwas tut.
Was habe ich die Tage gelesen, Crypto Trojaner (also das verschlüsseln von Dateien und das erpressen von Geld um die Daten wieder zu entschlüsseln) sind Out aber dafür wurden Weltweit mehr als 550 Milliarden US$ mit Krypto-Miner im ersten Halbjahr 2018 verdient.
Also das scheint das neue Öl der Online Kriminellen zu sein, im übrigen mal eben so bemerkt zielen die Krypto-Miner auf alle möglichen Geräte es ab betroffen sind nicht nur Rechner sondern, Router, allerlei SmartHome Geräte, Smartphones, Smartuhren und, und, und, die liste der Geräte ist lang.
Für Diverse Geräte die ich eben aufgezählt habe gibt es nicht mal Tools um diese Krypto-Miner zu entfernen, wer weiß da schon ob die Krypto-Miner nicht schon mit den Geräten ausgeliefert worden sind.