Microsoft удалила восемь приложений из своего магазина, которые взломали криптовалюту без ведома пользователя. Они были обнаружены экспертами по угрозам Symantec.
Обнаруженные приложения находились в Microsoft App Store с апреля по декабрь 2018 года. Точно неизвестно, сколько людей было загружено, но у них было 1900 оценок пользователей. В качестве приложений использовались браузеры, поисковые системы, инструменты для загрузки видео с YouTube, VPN и программное обеспечение для оптимизации компьютеров. Они были размещены в магазине тремя разработчиками: DigiDream , 1clean и Findoo . Эксперты Symantec подозревают, что за ними стоит один и тот же человек или группа людей, потому что все трое были в одном домене.
Как только пользователь запустил приложение, оно добавило в менеджер тегов Google библиотеку Java, которая запускала скрипт, копирующий криптовалюту Monero. Для этого использовалась большая часть доступной вычислительной мощности процессора, что значительно снижало плавность работы устройства. Разумеется, у каждого приложения были свои правила и политика конфиденциальности, в которой, конечно же, не упоминалось ни слова об этой процедуре, аналогично отсутствовала такая информация в описании приложения в Microsoft App Store . Программы были опубликованы в виде PWA ( Progressive Web Application ) — приложения, запускаемые как обычные веб-сайты, но работающие как собственное мобильное или настольное приложение системы, имеющие доступ к компонентам машины через API и, следовательно, — способные отправлять уведомления, хранить данные в автономном режиме и т. д. В Windows 10 эти приложения работали независимо от любого браузера, видимого как процесс, называемый WWAHost.exe .
Вышеупомянутый скрипт копирования Monero представляет собой вариант Coinhive (также называемый Coinhive Miner ) — программное обеспечение для копания, которое в прошлом использовалось киберпреступниками для заражения веб-сайтов и использования процессоров пользователей, посещающих их. Эксперты Symantec по обнаружению угроз анонсировали приложения Microsoft и Google . Первая компания немедленно удалила их из своего магазина, а вторая удалила библиотеку из менеджера тегов.
Этот инцидент показывает, что майнинг криптовалюты с использованием зараженных компьютеров все еще актуален для киберпреступников. Будь то частный компьютер или сервер компании, они всегда ищут возможности для майнинга криптовалют. За последние два года преступники начали атаки такого типа с помощью приложений Android, размещенных в Google Play , а также расширений для браузеров Google Chrome и Firefox и настольных приложений, работающих под управлением WPA . Существует также ряд ботнетов, заражающих серверы Linux и работающих под Windows, в которых существуют программы майнинга криптовалют, которые используют уязвимости в популярных сетевых приложениях. И хотя пользователям рекомендуется загружать и устанавливать приложения только из надежных источников, никто не гарантирует, что эти источники будут содержать только безопасные программы.
Как вы можете распознать поведение Bitcoinminer? Симптом сразу виден — компьютер начинает работать намного медленнее, чем обычно. Поэтому в этой ситуации arto сканирует его с помощью антивирусной программы.
