Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

Android

Android обладает самой большой пользовательской базой среди всех настольных и мобильных операционных систем  и по некоторым подсчетам используется на почти 80% «гаджетах». При этом «Зеленый робот» пробрался не только в смартфоны и планшеты: в наши дни вполне обыденными стали

телевизоры, умные часы и даже автомобили с Android. Несмотря на то, что операционная система Android достаточно молода (первая коммерческая версия Android представленна 23 сентября 2008 году), но за счет своих приложений, игр и в том числе доступных и удобных мессенджеров подталкивает пользователей операционной системы Android искать решения установки ее на  компьютер.
Один из популярных способов работы на компьютере с операционной системой Android это установка эмулятора.
В линейке самых популярных и активно используемых  программ-эмуляторов, Andy выделяется стабильностью работы и дополнительным функционалом. Высокая производительность, легкость установки и использования, возможность подключить смартфон как джойстик, делают приложение привлекательным для пользователей.
Однако, в настоящее время обнаружено, что при установке Android-эмулятора Andy OS для Windows и macOS на компьютер скрыто устанавливается вредоносная программа для добычи криптовалют за счет ресурсов графического процессора.
Вредоносная программа  майнер без ведома пользователей устанавливается в папку C:Program Files (x86)Updaterupdater.exe.
При проверке интерактивной службой VirusTotal инсталлятор Andy OS детектируется как одна из версий InstallCore – известного установщика рекламного ПО. Подобные установщики позволяют разработчикам бесплатного программного обеспечения зарабатывать за счет показа рекламы.
Более того, при установке текущей версии  Andy OS, программа устанавливается на компьютер даже после отклонения всех рекламных предложений. В процессе установки исполняется файл GoogleUpdate.exe, запускающий файл UpdaterSetup.exe, который, в свою очередь, устанавливает программу Updater.exe и настраивает ее на автоматический запуск при входе в Windows.
 Несмотря на название GoogleUpdate.exe, файл содержит описание "AndyOS Update" ("Обновление AndyOS"). Судя по подписи "Andy OS Inc", файл принадлежит Andy OS Inc, либо был намеренно подписан компанией.
Разработчики Andy OS на обращения по данной проблеме никак не реагируют.
Центр кибербезопасности рекомендует пользователям воздержаться от установки эмулятора Andy OS, пока разработчики не прояснят ситуацию.