Hirdetés

A Windows 10 áruház veszélyei

|

Nyolc olyan alkalmazást távolított el az appboltból a szoftvergyártó óriás, amely Monero kriptovaluta bányászatára használta a felhasználók számítógépét, azok tudta nélkül.

Januárban a Symantec kutatói kriptobányász alkalmazásokat fedeztek fel a Windows 10 operációs rendszerhez appokat kínáló Microsoft Áruházban, amelyeket tavaly április és december között töltöttek fel oda. Azt nem lehet tudni, hogy hányan töltötték le ezeket az alkalmazásokat, az biztos, hogy közel 1900 felhasználói értékeléssel rendelkeztek.

A rosszindulatú alkalmazásokat böngészőnek, keresőmotornak, YouTube videó letöltőnek, VPN programnak és PC-optimalizáló szoftvernek álcázták, és három különböző fejlesztői fiókból töltötték fel őket. Ennek ellenére a Symantec kutatói úgy vélik, hogy ugyanaz a személy vagy hackercsoport készítette a programokat, mivel ugyanaz az eredet doménjük.

Hirdetés

Miután a mit sem sejtő felhasználók letöltötték és elindították az appokat, azok egy kriptobányász JavaScript könyvtárat aktiválnak, majd a megfertőzött számítógép processzorának szinte a teljes erejét Monero kriptovaluta bányászására használják. Természetesen ezt a "kiegészítő funkciót" nem tüntetik fel az appok leírásában.

A programokat progresszív webes alkalmazásként (Progressive Web Applications, PWA) publikálták. Ezek a fajta appok úgy működnek, mint egy weboldal, de API-kon keresztül hozzáférnek a számítógép hardveréhez, push értesítéseket képesek küldeni, offline tárolóeszközöket használnak és a natív programokhoz hasonlóan viselkednek. A Windows 10 operációs rendszerben a böngészőtől függetlenül futnak a WWAHost.exe nevű önálló folyamat alatt. Amikor elindítják őket, meghívják a GTM (Google Tag Manager) legális szolgáltatást, amely lehetővé teszi a fejlesztők számára, hogy dinamikusan injektáljanak JavaSceript kódot az alkalmazásaikba. Mindegyik alkalmazás ugyanazt az egyedi GTM kulcsot használja, ami szintén arra utal, hogy ugyanaz a fejlesztő készítette őket.

Hirdetés

Az appok által betöltött szkript a web alapú Coinhive kriptobányász program egy variánsa; a a Coinhive-ot előszeretettel használják kiberbűnözők weboldalak megfertőzésére és a látogatók processzorteljesítményének megcsapolására.

A Symantec kutatói informálták a Microsoftot és a Google-t a rosszindulatú alkalmazások viselkedéséről, melynek hatására az előbbi törölte az alkalmazásokat a Microsoft Áruházból, az utóbbi pedig eltávolította a kriptobányász JavaScript kódot a Google Tag Managerből.

Hirdetés

Az incidens jól mutatja, hogy a kriptobányászat továbbra is a kiberbűnözők népszerű pénzkereseti forrása.

Hirdetés
Hirdetés
X

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.