CryptoMonday
Home News Android-Emulator Andy soll Mining-Trojaner enthalten

Android-Emulator Andy soll Mining-Trojaner enthalten

Marius Kramer
Marius Kramer
Marius Kramer
Autor*in:
Marius Kramer
Writer
20. Juni 2018

Der bekannte Emulator Andy ermöglicht es Android auf dem PC zu nutzen und damit Android-Apps auf den Rechner zu holen. Nun sollen erste Hinweise aufgekommen sein, wonach die Andy-Installationsdatei zusätzlich eine verdeckte Mining-Software im Hintergrund herunterladen und ausführen soll.

Mining-Trojaner enttarnt

Der Reddit-Nutzer TopWire veröffentlichte vor einigen Tagen eine Analyse zu der Emulator-Software und kam zu der Erkenntnis, dass gleichzeitig zur Andy-Software ein Bitcoin-Miner heruntergeladen wird. Andere Nutzer bestätigten die Entdeckung. TopWire hatte sich unterdessen an die Entwickler gewendet, wurde aber nach eigenen Aussagen auf der Support-Seite auf Facebook geblockt und auch in dazugehörigen Foren soll er gesperrt worden sein.

Als Beweis hat er die Installation des Emulators dokumentiert, was für jeden Interessierten im folgenden Video zu sehen ist. Andere bekannte Tech-Nachrichten-Seiten wie Heise.de haben die Geschichte ebenfalls aufgegriffen und vor Andy gewarnt.

Bis jetzt sei aber noch nicht zu 100% klar ob das Entwickler-Team oder die genutzte Installationssoftware von Dritten für den böswilligen Miner verantwortlich sind. Dem Nutzer TopWire fiel der ungebetene Gast auf, als er mehrfach Performance-Einbrüche bei verschiedenen Computerspielen bemerkte, die vorher nicht vorhanden waren. Ein unscheinbarer Prozess namens „updater.exe“ entpuppte sich als ungebetener Miner im Hintergrund. Die Entwickler der Andy-Software erklärten den Vorfall unvollständig: ein Entwickler erklärte, dass man Blockchain-Technologie für Andy verwende, ein anderer meinte, man müsse nur die Antiviren-Software abschalten und damit seien die Probleme gelöst – eine prinzipiell dreiste Antwort.

Problemlösung

Betroffen sein sollen alle Andy-Softwarepakete von der offiziellen Andy-Homepage. Bis jetzt haben die Entwickler weitere Aussagen zu der Thematik vermieden. Die Antiviren-Software sollte den ungewünschten Miner übrigens nicht finden – entgegen der üblichen Meinung, dass Schadsoftware von Sicherheitsprogrammen entdeckt wird, ist es bei Minern nicht der Fall. Ansonsten würde die Antivirensoftware bereits bei der Installation „normaler“ Miner anschlagen.

Um zu testen ob man selbst befallen ist, sollte man den Task-Manager per Strg + Alt + Entf öffnen und unter „Prozesse“ einen Prozess mit dem Namen „updater.exe“ finden. Sollte dieser Prozess viele Ressourcen nutzen und nicht zu einem offensichtlich gewollten Programm gehören, sollte dieser über die Schaltfläche „Prozess beenden“ beendet werden.

Will man Andy und den Miner vom PC löschen, ist dies mit der folgenden Anleitung möglich:

  1. Schließe jeden Andy-Prozess, den du über den Task-Manager finden kannst
  2. Deinstalliere Andy über „Programme verwalten/deinstallieren“ in Windows
  3. Suche nach dem „updater.exe“-Prozess im Task-Manager (das ist der Miner, er kann übrigens nicht einfach so gelöscht werden)
  4. Rechtsklicke den Prozess und klicke auf „Gehe zu Details“
  5. Rechtsklicke „updater.exe“ in den Details und klicke auf „Prozessbaum beenden“
  6. Gehe in den Ordner „C:\Program Files (x86)“ oder „C:\Programme“
  7. Klicke auf den Ordner namens „Updater“ und drücke „Umschalttaste + Entfernen“
  8. Klicke auf den Ordner namens „Andy OS“ und drücke „Umschalttaste + Entfernen“
  9. Schaue nochmal im Task-Manager nach, ob irgendwelche Dienste von Andy laufen (zu erkennen daran, dass sie „Andy“ im Namen tragen)
  10. Lade dir Malwarebytes runter und führe einen vollständigen Systemchek durch
  11. Lade dir CCleaner runter und wende den Registrierungsfix an. Es dürften mehrere Einträge von Andy gefunden werden. Diese sollten mit einem Klick auf „Alle korrigieren“ gelöscht werden.

[Bild: Bloomicon/Shutterstock]