Microsoft elimina ocho apps maliciosas de su tienda oficial

  • Endpoint

Según los investigadores, una vez que las víctimas descargaron y abrieron las aplicaciones, estas desplegaron una biblioteca de JavaScript de extracción de monedas. Se cree que todas estas apps probablemente fueron desarrolladas por la misma persona o grupo.

También puedes leer...

Cómo evaluar las opciones de SD-WAN

La Seguridad es Infinity

Gestión de cuentas con privilegios para Dummies

Cómo combatir las amenazas cifradas

Cómo vencer al malware evasivo

Microsoft ha eliminado ocho aplicaciones maliciosas de su tienda oficial de aplicaciones móviles y de sobremesa después de que los investigadores descubrieran que los programas extrajeron a escondidas criptomoneda Monero. Las ocho aplicaciones son Fast-search Lite, Battery Optimizer, VPN Browser+, Downloader for YouTube Videos, Clean Master+, FastTube, Findoo Browser 2019 y Findoo Mobile y Desktop Search. Los investigadores de Symantec que descubrieron las aplicaciones dijeron que un número significativo de usuarios puede haber descargado las aplicaciones desde la tienda oficial de Microsoft.

"En total, descubrimos ocho aplicaciones de estos desarrolladores que compartían el mismo comportamiento de riesgo", señalan Yuanjing Guo y Tommy Dong de Symantec. "Después de una investigación adicional, creemos que todas estas aplicaciones probablemente fueron desarrolladas por la misma persona o grupo". Los investigadores descubrieron las aplicaciones el 17 de enero. Poco después, Microsoft fue notificado y eliminó las aplicaciones de Microsoft Store. Las aplicaciones se publicaron entre abril y diciembre, la mayoría de ellas hacia finales de año.

Según los investigadores, una vez que las víctimas descargaron y lanzaron las aplicaciones, las aplicaciones desplegaron una biblioteca de JavaScript de extracción de monedas. Los atacantes hicieron esto al activar Google Tag Manager (GTM), un sistema de gestión de etiquetas creado por Google para administrar las etiquetas de JavaScript y HTML utilizadas para el seguimiento y análisis de sitios web en sus servidores de dominio.

"GTM es una herramienta legítima que permite a los desarrolladores inyectar JavaScript de forma dinámica en sus aplicaciones", dijeron los investigadores. "Sin embargo, se puede abusar de GTM para ocultar comportamientos maliciosos o de riesgo, ya que el enlace al JavaScript almacenado en GTM no indica la función del código invocado".

La secuencia de comandos de minería, Coinhive, luego se activa y comienza a utilizar la mayoría de los ciclos de CPU del ordenador para extraer Monero. Los investigadores dijeron que no se menciona la extracción de monedas en la política de privacidad o en las descripciones de las aplicaciones. Curiosamente, los investigadores dijeron que las aplicaciones utilizan servidores de nombres de dominio compartidos, y probablemente son publicados por los mismos desarrolladores que usan nombres diferentes.

"Aunque no podemos conocer la cantidad exacta de descargas o instalaciones, podemos ver que se han publicado casi 1.900 valoraciones para estas aplicaciones. Sin embargo, las calificaciones de las aplicaciones pueden inflarse de manera fraudulenta, por lo que es difícil saber cuántos usuarios realmente descargaron estas aplicaciones", concluyen los investigadores.