W Microsoft App Store wykryto bitcoinminery

Microsoft usunął ze swojego sklepu osiem aplikacji, które kopały kryptowalutę bez wiedzy użytkownika. Zostały wykryte przez ekspertów ds. zagrożeń z firmy Symantec.

Wykryte aplikacje znajdowały się w sklepie Microsoft App Store od kwietnia do grudnia 2018 roku. Nie wiadomo, ile dokładnie osób jest pobrało, ale miały w sumie 1900 ocen wystawionych przez użytkowników. Aplikacje udawały przeglądarki, silniki wyszukiwarek, narzędzia do pobierania klipów z YouTube, sieci VPN i oprogramowanie do optymalizacji działania komputera. Zostały umieszczone w sklepie przez trzech deweloperów: DigiDream, 1clean i Findoo. Eksperci Symantec podejrzewają, że stoi za nimi jedna i ta sama osoba lub grupa osób, ponieważ wszystkie trzy znajdowały się w tej samej domenie.

Gdy tylko użytkownik uruchamiał aplikację, dodawała ona do menadżera tagów Google napisaną w języku Java bibliotekę, która uruchamiała skrypt kopiący kryptowalutę Monero. Wykorzystywała do tego większość dostępnej mocy obliczeniowej procesora, przez co znacznie spadała płynność pracy urządzenia. Oczywiście każda aplikacja miała swój regulamin i politykę prywatności, w których oczywiście ani słowem nie wspomniano tym procederze, podobnie brak było takich informacji w opisie danej aplikacji w Microsoft App Store. Programy były opublikowane jako PWA (Progressive Web Application) - aplikacje uruchamiane tak, jak zwykłe strony internetowe, ale działające niczym natywna aplikacja mobilna lub desktopowa systemu, mająca dostęp do podzespołów maszyny poprzez API, a co za tym idzie - mogąca wysyłać powiadomienia, przechowywać dane offline, itp. Na Windows 10 aplikacje te działały niezależnie od jakiejkolwiek przeglądarki, widoczne jako proces o nazwie WWAHost.exe.

Wspomniany skrypt kopiący Monero to wariant Coinhive (zwanego też Coinhive Miner) - oprogramowanie kopiącego, które było w przeszłości używane przez cyberprzestępców do infekowania witryn i wykorzystywania procesorów odwiedzających je użytkowników. Eksperci ds. wykrywania zagrożeń z Symantec powiadomili o aplikacjach zarówno Microsoft, jak i Google. Pierwsza firma usunęła je natychmiast ze swojego sklepu, a druga usunęła bibliotekę z menadżera tagów.

Incydent ten pokazuje, że kopanie kryptowaluty przy użyciu zainfekowanych komputerów jest nadal istotne dla cyberprzestępców. Obojętnie, czy chodzi o komputer osoby prywatnej, czy też serwer firmowy, zawsze szukają okazji do wydobywania kryptowalut. W ciągu ostatnich dwóch lat przestępcy przypuszczali ataki tego typu poprzez aplikacje na Androida, umieszczane w Google Play, a także rozszerzenia dla przeglądarek Google Chrome i Firefox oraz aplikacji desktopowych działających jak WPA. Istnieje także szereg botnetów, infekujących serwery linuksowe i działające pod Windows, na których znajdują się programy do kopania kryptowalut, wykorzystujące luki w popularnych aplikacjach sieciowych. I chociaż użytkownikom poleca się pobieranie i instalowanie aplikacji tylko z zaufanych źródeł, nikt nie gwarantuje, że w tych źródłach będą znajdować się tylko i wyłącznie bezpieczne programy.

W jaki sposób rozpoznać działanie bitcoinminera? Objaw jest od razu widoczny - komputer zaczyna pracować znacznie wolniej, niż zazwyczaj. Dlatego w takiej sytuacjiw arto przeskanować go używanym programem antywirusowym.