Компания Microsoft удалила из своего официального магазина восемь вредоносных приложений, осуществляющих секретный майнинг Monero (XMR) на инфицированных компьютерах. Приложения были обнаружены специалистами фирмы Symantec.
Точное количество пользователей, успевших загрузить вредоносные приложения в Microsoft Store, неизвестно. Ученые объясняют, что все приложения работали аналогичным образом, что наводит на мысль о том, что их создал один человек. В число вредоносных приложений вошли: Fast-search Lite, Battery Optimizer (Tutorials), VPN Browser+, Downloader for YouTube Videos, Clean Master+ (Tutorials), FastTube, Findoo Browser 2019 and Findoo Mobile и Desktop Search.
«В общей сложности мы обнаружили восемь приложений, каждое их которых вело себя одинаково опасно (…); мы считаем, что все приложения, скорее всего, разработал один человек или группа».
Команда ученых рассказала, что подозрительные приложения были обнаружены 17 января 2019г. Исследователи предупредили компанию Microsoft, которая предприняла необходимые меры и удалила приложения из Microsoft Store. По мнению ученых, приложения были созданы в период с апреля по декабрь 2018г, но большая часть была запущена ближе к концу года.
После загрузки и запуска из вредоносного приложения извлекалась программа майнинга монет на базе JavaScript. Преступникам удавалось это осуществлять при помощи активации инструмента Google Tag Manager (GTM) – системы, разработанной компанией Google для управления тегами HTML и JavaScript, используемыми для отслеживания и управления аналитикой вэб-сайтов и доменных серверов.
По словам ученых, в описании приложений или политике конфиденциальности майнинг монет не упоминался. В приложениях использовался очень популярный среди хакеров майнер Coinhive, использующий мощность процессора для добычи ориентированных на конфиденциальность криптовалют.
Команда исследователей считает, что приложения, использующие доменные серверы, скорее всего, были разработаны одними и теми же людьми, использующими разные имена вроде DigiDream, 1clean и Findoo. Помимо Microsoft, команда Symantec связалась с компанией Google, которая также удалила Google Tag Manager.