Восемь приложений для Windows 10 были удалены из Microsoft Store после того, как попались на тайном майнинге криптовалюты Monero. Полученные от криптоджекинга средства поступали в карман разработчиков приложений.
Речь идёт о приложениях Fast-search Lite, Battery Optimizer (Tutorials), VPN Browsers+, Downloader для YouTube Video, Clean Master+ (Tutorials), FastTube, Findoo Browser 2019 и Findoo Mobile & Desktop Search. Приложения создали три разработчика – DigiDream, 1clean и Findoo. Американская компания киберзащиты Symantec, обнаружившая вредоносные приложения в прошлом месяце, сообщает, что, судя по программному коду и связанным с приложениям доменам, все восемь приложений были разработаны одним человеком или одной группой, несмотря на разные имена.
Согласно техническому отчёту Symantec, все приложения работали по одной схеме. Все они загружали библиотеку Google Tag Manager (GTM) в свой программный код, посредством которой впоследствии скачивали и загружали вредоносное ПО, как таковое. ПО представляло собой пиратскую версию печально известного Coinhive – библиотеку JavaScript, которую многие хакеры секретно добавляли на взломанные сайты с целью майнинга Monero посредством браузеров посетителей.
Помимо взломанных сайтов, библиотека также использовалась в любых приложениях, способных запускать код JavaScript – играх, приложениях Android и iOS, а теперь, и в приложениях Windows 10. Впервые подобные приложения были обнаружены в Microsoft Store.
В своём отчёте эксперты Symantec, объясняя, как эти приложения могли запустить код Coinhive JavaScript, пишут: «Эти приложения относятся к категории прогрессивных веб-приложений, которые инсталлируются в качестве приложения Windows 10, работающего независимо от браузера, в автономном окне».
Пользователи, в течение последних месяцев установившие эти приложения, наблюдали, как интенсивность эксплуатации их CPU резко возрастала, поскольку майнер Coinhive потреблял все доступные ресурсы для майнинга Monero в интересах разработчиков приложений.
Поскольку Microsoft Store не публикует статистику установок, невозможно сказать, сколько пользователей пострадало, однако Symantec сообщает, что приложения имели тысячи обзоров – это значит, что они оказались популярны, хотя судить с уверенностью затруднительно, поскольку существуют онлайн-сервисы, продающие фейковые обзоры.
Приложения такого типа специалисты по кибербезопасности обычно называют приложениями криптоджекинга или криптомайнерами. Благодаря внезапному росту цен на криптовалюты в середине 2017 года, криптоджекинг (первоначально он осуществлялся в браузерах, а впоследствии в процессе стали использовать выделенное ПО на серверах) сейчас является одной из самых распространённых форм киберпреступлений.