Cryptominers aangetroffen in Microsoft Store

Stay tuned, abonneer!

Beveiligingsonderzoekers van Symantec hebben ongeveer acht mogelijk ongewenste applicaties gevonden in de Microsoft Store, die de computer van een slachtoffer gebruiken om cryptovaluta te mijnen. Dat meldt IT Pro. De apps stellen onder meer de accu en de computer te optimaliseren. Ook doen ze zich voor als zoekmachines en browsers.

Het gaat specifiek om Fast-search Lite, Battery Optimizer (Tutorials), VPN Browsers+, Downloaders for YouTube Videos, Clean Master+ (Tutorials), FastTube, Findoo Browser 2019 en Findoo Mobile & Desktop Search. De apps kwamen volgens de beveiligingsonderzoekers van drie ontwikkelaars: DigiDream, 1clean en Findoo.

Werking

Zodra de apps gedownload en geopend worden, halen ze een coin-mining JavaScript library op door Google Tag Manager (GTM) in hun domeinservers te triggeren.

“Het mine-script wordt vervolgens geactiveerd en begint het overgrote deel van de CPU-cycles van de computer te gebruiken om Monero te minen voor de operators”, aldus de onderzoekers. “Hoewel deze apps privacybeleid lijken te bieden, wordt het minen van cryptovaluta niet genoemd in de beschrijving op de app store.”

Als een app gelanceerd is, wordt er heimelijk een domein bezocht in de achtergrond, en GTM getriggerd met de sleutel GTM-PRFLJPX, die gedeeld wordt in alle acht de applicaties. GTM is een legitieme tool waarmee ontwikkelaars dynamisch JavaScript kunnen injecteren in hun applicaties. De malafide ontwikkelaars misbruiken dit echter om malafide of risicovol gedrag te verbergen.

Veel gedownload

De apps verschenen tussen april en december vorig jaar in de app store, aldus het onderzoek. De apps waren slechts korte tijd aanwezig, maar werden mogelijk door een significant aantal gebruikers gedownload. Volgens de onderzoekers werden er bijna 1.900 recensies geplaatst voor de apps. De onderzoekers stellen dat ze Microsoft en Google op de hoogte hebben gesteld van de apps, waarna ze zijn verwijderd. Ook is de mining JavaScript uit Google Tag Manager verwijderd.