Januárban a Symantec kutatói kriptobányász alkalmazásokat fedeztek fel a Windows 10 operációs rendszerhez appokat kínáló Microsoft Áruházban, amelyeket tavaly április és december között töltöttek fel oda. Azt nem lehet tudni, hogy hányan töltötték le ezeket az alkalmazásokat, az biztos, hogy közel 1900 felhasználói értékeléssel rendelkeztek.
A rosszindulatú alkalmazásokat böngészőnek, keresőmotornak, YouTube videó letöltőnek, VPN programnak és PC-optimalizáló szoftvernek álcázták, és három különböző fejlesztői fiókból töltötték fel őket. Ennek ellenére a Symantec kutatói úgy vélik, hogy ugyanaz a személy vagy hackercsoport készítette a programokat, mivel ugyanaz az eredet doménjük.
Miután a mit sem sejtő felhasználók letöltötték és elindították az appokat, azok egy kriptobányász JavaScript könyvtárat aktiválnak, majd a megfertőzött számítógép processzorának szinte a teljes erejét Monero kriptovaluta bányászására használják. Természetesen ezt a "kiegészítő funkciót" nem tüntetik fel az appok leírásában.
A programokat progresszív webes alkalmazásként (Progressive Web Applications, PWA) publikálták. Ezek a fajta appok úgy működnek, mint egy weboldal, de API-kon keresztül hozzáférnek a számítógép hardveréhez, push értesítéseket képesek küldeni, offline tárolóeszközöket használnak és a natív programokhoz hasonlóan viselkednek. A Windows 10 operációs rendszerben a böngészőtől függetlenül futnak a WWAHost.exe nevű önálló folyamat alatt. Amikor elindítják őket, meghívják a GTM (Google Tag Manager) legális szolgáltatást, amely lehetővé teszi a fejlesztők számára, hogy dinamikusan injektáljanak JavaSceript kódot az alkalmazásaikba. Mindegyik alkalmazás ugyanazt az egyedi GTM kulcsot használja, ami szintén arra utal, hogy ugyanaz a fejlesztő készítette őket.
Az appok által betöltött szkript a web alapú Coinhive kriptobányász program egy variánsa; a a Coinhive-ot előszeretettel használják kiberbűnözők weboldalak megfertőzésére és a látogatók processzorteljesítményének megcsapolására.
A Symantec kutatói informálták a Microsoftot és a Google-t a rosszindulatú alkalmazások viselkedéséről, melynek hatására az előbbi törölte az alkalmazásokat a Microsoft Áruházból, az utóbbi pedig eltávolította a kriptobányász JavaScript kódot a Google Tag Managerből.
Az incidens jól mutatja, hogy a kriptobányászat továbbra is a kiberbűnözők népszerű pénzkereseti forrása.
