Microsoft удалила восемь вредоносных приложений из своего официального магазина настольных и мобильных приложений после того, как исследователи обнаружили, что эти программы тайно используются для добычи криптовалюты Monero.
Исследователи, обнаружившие приложения, сказали, что неуказанное, но значительное количество пользователей, возможно, загрузило мошеннические приложения из официального магазина Microsoft Store. Обнаружено восемь приложений Fast-search Lite, Battery Optimizer (Tutorials), VPN Browser+, Downloader for YouTube Videos, Clean Master+ (Tutorials), FastTube, Findoo Browser 2019, Findoo Mobile and Desktop Search.
В целом, обнаружено восемь приложений этих разработчиков , которые фактически предназначены для майнинга криптовалюты, написали Yuanjing Go и Tommy Dong из компании Symantec. После дальнейшего расследования считается, что все эти приложения, вероятно, были разработаны одним и тем же человеком или группой.
Исследователи заявили, что обнаружили приложения 17 января. Вскоре после этого Microsoft получила уведомление и удалила приложения из Магазина Microsoft. Приложения были опубликованы в период с апреля по декабрь 2018 года, и большинство из них были опубликованы к концу года.
По словам исследователей после того, как жертвы загрузили и запустили приложения, приложения получили библиотеку JavaScript для майнинга криптовалюты. Злоумышленники сделали это, запустив Google Tag Manager (GTM) — систему управления тегами, созданную Google для управления тегами JavaScript и HTML, используемыми для отслеживания и анализа на веб-сайтах — на своих доменных серверах.
GTM является законным инструментом, который позволяет разработчикам динамически внедрять JavaScript в свои приложения. Однако GTM можно использовать для сокрытия злонамеренного или рискованного поведения.
Сценарий майнинга Coinhive затем активируется и начинает использовать большинство циклов ЦП компьютера для майнинга криптовалюты Monero. Исследователи заявили, что в политике конфиденциальности или описаниях приложений нет упоминания о майнинге монет.
Рассматриваемый криптомайнер был создан Coinhive, компанией, которая предлагает JavaScript-майнер для веб-сайтов в качестве нетрадиционного способа монетизации контента веб-сайтов. Программное обеспечение JavaScript майнера Coinhive часто используется хакерами, которые тайно встраивают код в веб-сайты или приложения, а затем добывают валюту Monero, используя вычислительную мощность телефонов, планшетов и компьютеров посетителей сайта.
Интересно, что исследователи заявили, что приложения используют общие серверы доменных имен и, вероятно, публикуются одними и теми же разработчиками под разными именами. Приложения принадлежат разработчикам: DigiDream, 1clean и Findoo.
Хотя неизвестно точное количество загрузок или установок, для этих приложений было опубликовано почти 1900 оценок. Однако рейтинги приложений могут быть мошеннически завышены, поэтому трудно понять, сколько пользователей действительно загрузили эти приложения.
Помимо Microsoft, исследователи связались с Google, который удалил майнинг JavaScript из Google Tag Manager.
Cryptomining сегодня является одной из основных угроз, согласно отчету 2018 года.