Presentes na Windows store, apps mineravam criptomoedas secretamente

Em janeiro, pesquisadores de segurança da Symantec descobriram aplicativos criptomineradores na Microsoft App Store, os quais foram publicados na loja entre abril e dezembro de 2018. Não está claro quantos usuários baixaram ou instalaram os aplicativos, mas eles tinham quase 1.900 avaliações de usuários.

Os aplicativos maliciosos colocados como navegadores, mecanismos de pesquisa, downloaders de vídeos do YouTube, VPN e otimizadores de computadores foram enviados por três contas de desenvolvedores chamados DigiDream, 1clean e Findoo. No entanto, os pesquisadores da Symantec acreditam que os aplicativos foram criados por uma única pessoa ou pelo mesmo grupo de invasores, já que todos compartilham o mesmo domínio de origem no back-end.

“Assim que os aplicativos são baixados e lançados, eles buscam uma biblioteca JavaScript de mineração de moedas acionando o Gerenciador de Tags do Google (GTM) em seus servidores de domínio”, disseram os pesquisadores da Symantec em um relatório na sexta-feira. “O script de mineração é ativado e começa a usar a maioria dos ciclos da CPU do computador para minerar o Monero para os operadores. Embora esses aplicativos pareçam fornecer políticas de privacidade, não há menção à mineração de moedas em suas respectivas descrições na loja de aplicativos”.

Os programas foram publicados como Progressive Web Applications (PWA), um tipo de aplicativo que funciona como uma página da Web, mas também tem acesso ao hardware do computador por meio de APIs, podendo enviar notificações push, usar armazenamento off-line e se comportar como um programa nativo. No Windows 10, esses aplicativos são executados independentemente do navegador, em um processo autônomo chamado WWAHost.exe.

Quando executados, os aplicativos sinalizam o GTM, um serviço legítimo que permite aos desenvolvedores injetarem dinamicamente o JavaScript em seus aplicativos. Todos os apps usam a mesma chave única do GTM, o que sugere que eles foram criados pelo mesmo desenvolvedor.

O script carregado pelos aplicativos é uma variante do Coinhive, um minerador de criptomoeda baseado em Web que foi usado no passado por invasores para infectar sites e sequestrar recursos da CPU dos visitantes.

“Informamos a Microsoft e o Google sobre os comportamentos desses aplicativos’, disseram os pesquisadores da Symantec. “A Microsoft removeu os aplicativos de sua loja. O JavaScript de mineração também foi removido do Gerenciador de Tags do Google”.

Este incidente mostra que a mineração com criptomoedas continua sendo de grande interesse para os cibercriminosos. Seja para sequestrar computadores pessoais ou servidores em datacenters, eles estão sempre à procura de novas maneiras de implantar mineradores.

Nos últimos dois anos, os invasores lançaram ataques de mineração de moedas por meio de aplicativos Android hospedados no Google Play, por extensões de navegador para o Google Chrome e Mozilla Firefox, por aplicativos de desktop comuns, por sites comprometidos (roubados ou hackeados) e agora pelo PWA do Windows 10. Há também uma variedade de botnets que infectam servidores Linux e Windows com programas de mineração de criptomoedas, explorando vulnerabilidades em aplicativos e plataformas populares da Web.

Os usuários geralmente são aconselhados a fazer o download apenas de aplicativos de fontes confiáveis, seja em dispositivos móveis ou computadores. No entanto, com aplicativos desonestos que frequentemente chegam às lojas de aplicativos oficiais, confiar apenas naqueles conselhos para proteção não é mais uma opção.

Fonte: itmidia