Todo parte por la publicación de un usuario de Reddit llamado TopWire que dejó al descubierto el problema. Escondido como un código para generar actualizaciones, el malware utiliza la potencia de la GPU de la PC para minar criptomonedas.
En el siguiente video, explican cómo se encontraron con varias amenazas desde que instalaron Andy, hasta que se dieron cuenta del minero. El asunto se agravó aún más cuando, tras alertar a los desarrolladores del problema, fueron eliminados de varios grupos de Facebook.
Desde el inicio, se puede ver como el instalador está lleno de adware. Posteriormente a este proceso, aparecen programas instalados sin permisos iniciales. Los usuarios descubrieron que el minero se puede identificar en la siguiente dirección: C:\Program Files (x86)\Updater\updater.exe
Según mencionaron en un informe de Bleepingcomputer el nombre de este archivo habría sido cambiado a GoogleUpdate.exe por los encargados de Andy OS Inc. A estas alturas tampoco se ha recibido una respuesta oficial de la firma, por lo que todo se ve bastante turbio.
Fuente