Microsoft Store remove oito aplicativos maliciosos (cryptojacking) de Monero

A Microsoft retirou da Microsoft Store oficial oito aplicativos do Windows 10 que haviam sido pegos, explorando a criptomoeda Monero por trás dos usuários para o benefício dos desenvolvedores dos aplicativos.

Os nomes dos oito aplicativos são o Fast-search Lite, o Battery Optimizer (Tutorials), o VPN Browsers +, o Downloader para vídeos do YouTube, o Clean Master + (Tutoriais), o FastTube, o Findoo Browser 2019 e o Findoo Mobile & Desktop Search.

Os aplicativos foram desenvolvidos por três desenvolvedores, ou seja, DigiDream, 1clean e Findoo. A empresa de segurança cibernética dos Estados Unidos Symantec , que descobriu os aplicativos maliciosos no mês passado, diz que as evidências encontradas no código-fonte dos aplicativos e nos domínios adjacentes os levaram a acreditar que todos os oito foram desenvolvidos pela mesma pessoa ou grupo, apesar dos nomes diferentes.

De acordo com um relatório técnico da Symantec compartilhado com o site ZDNet , todos os aplicativos funcionavam de maneira semelhante. Todos carregaram a biblioteca do Gerenciador de tags do Google (GTM) em seu código-fonte, por meio do qual eles depois baixaram e executaram a carga maliciosa real.

Esta última parte do código foi uma versão pirata do infame Coinhive –uma biblioteca JavaScript que muitos hackers secretamente adicionaram em sites hackeados para explorar o Monero usando os navegadores dos visitantes.

Além de sites hackeados, a biblioteca também foi usada em qualquer aplicativo que possa executar código JavaScript, como mods de jogos, aplicativos para Android e iOS e, agora, aplicativos do Windows 10. Isso marca a primeira vez que tais aplicativos foram encontrados na Microsoft Store, disse a Symantec ao ZDNet .

“Esses aplicativos se enquadram na categoria de aplicativos da Web progressivos, que são instalados como um aplicativo do Windows 10 executado independentemente do navegador, em uma janela independente (processo WWAHost.exe)”, disseram especialistas da Symantec em seu relatório, explicando como esses aplicativos eram capaz de executar o código JavaScript Coinhive, para começar.

“Uma URL maliciosa com script de mineração foi detectada, e voltamos atrás para encontrar esses aplicativos”, disse Tommy Dong, engenheiro sênior de software da Symantec “A Symantec AV pode condenar a mineração de criptomoedas genérica baseada em JS, desconsiderando qualquer domínio.”

Os usuários que instalaram esses aplicativos nos últimos meses teriam visto o uso da CPU ir para o teto, já que a mineradora Coinhive consumiria todos os recursos disponíveis para minerar o Monero para os desenvolvedores de aplicativos.

“Não há drowning, o que significa que ele consome até 100% do tempo de CPU do usuário. Abrir o aplicativo causará um pico detectável no uso da CPU”, disse Dong.

Como a Microsoft Store não lista estatísticas de contagem de instalação, é impossível dizer quantos usuários foram afetados, no entanto, a Symantec apontou que os aplicativos tinham milhares de avaliações, sugerindo que eles eram um pouco populares – embora isso não possa ser extremamente preciso também, pois há serviços online que vendem avaliações falsas na Microsoft Store.

Os aplicativos são o que os pesquisadores de segurança normalmente chamariam de aplicativos de cryptojacking ou cryptominers. Cryptojacking, é um termo relacionado à segurança cibernética que é usado para descrever a prática da mineração de criptomedas por trás das costas de um usuário.

Devido ao súbito aumento dos preços de criptomoeda ocorridos em 2017, o crypjacking – primeiro feito dentro de navegadores e depois usando software dedicado em servidores – é uma das formas mais prevalentes de cibercrime, com alguns grupos ganhando milhões de dólares em lucros.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.