Оказывается, даже в каталоге Microsoft Store можно опубликовать вредоносную программу, и никто этого не заметит. Это очень удобно для злоумышленников, потому что большинство пользователей представляют себе каталоги вроде Microsoft Store, App Store и Google Play как некую безопасную гавань, где они защищены от вирусов (конечно же, это не так). Соответственно, тысячи пользователей беззаботно скачивают приложение, не подозревая ничего плохого. К сожалению для мошенников, сейчас эту лавочку частично прикрыли.
17 января 2019 года компания Symantec нашла в Microsoft Store восемь приложений со встроенными криптомайнерами. Все приложения относятся к классу PWA (Progressive Web Applications), они устанавливаются в Windows 10 и работают в отдельном окне (WWAHost.exe), не похожем на браузер, но фактически это браузерные приложения.
Такие программы не делают ничего плохого на компьютере жертвы. Просто тихо и мирно майнят Monero на CPU, не слишком повышая нагрузку на процессор.
Symantec сразу сообщила о находке в Microsoft, и вскоре их удалили из каталога. 15 февраля отчёт опубликован в открытом доступе.
Список приложений охватывает несколько тематических категорий: тут учебники по оптимизации компьютера и батареи (здесь есть некая ирония), приложение для поиска в интернете, веб-браузеры, а также программы для загрузки видео с YouTube.
Хотя разработчиками числятся три компании (DigiDream, 1clean и Findoo), но специалисты Symantec считают, что на самом деле они созданы одним человеком или группой.
С одной стороны, если бы разработчик написал о майнинге мелкими буквами в пользовательском соглашении, то с вероятностью 99% никто бы не заметил эту фразу, зато его действия были бы полностью легальными. С другой стороны, в любом случае майнинг, вероятно, нарушает правила для приложений Microsoft Store, так что их просто не пустили бы в каталог.
Данные приложения были размещены в период с апреля по декабрь 2018 года, причем большинство из них опубликованы в конце года.
Неизвестно, сколько пользователей скачали и установили программы. Но их было легко найти в топах бесплатных приложений в топах Microsoft Store. Компания Symantec говорит, что на середину января для этих приложений опубликовано 1900 оценок, то есть число пользователей исчисляется тысячами, а может, и десятками тысяч. С другой стороны, рейтинги могут быть накручены, так что сделать точную оценку не представляется возможным.
Как только приложения загружаются и запускаются, они сразу скачивают JavaScript-библиотеку для майнинга с сервера разработчика. Как это делается: в файле манифеста прописаны официальные домены каждой программы. Например, домен Fast-search.tk для приложения Fast-search Lite на скриншоте ниже.
После установки приложение обращается к этому домену и активирует скрипт Google Tag Manager (GTM), причём все восемь приложений делают это с одинаковым ключом GTM-PRFLJPX. Google Tag Manager — это распространённый инструмент маркетологов. Ссылка имеет вид
https://www.googletagmanager.com/gtm.js?id={GTM ID}
, что теоретически позволяет обратиться к произвольной функции, чем и воспользовались злоумышленники.Под видом GTM запускается такой скрипт:
Путём прослушивания сетевого трафика специалисты Symantec заметили, что этот скрипт обращается на удалённый сервер и пытается скачать библиотеку
http://statdynamic.com/lib/crypta.js
.Ну а дальше понятно. Crypta.js — это зашифрованная библиотека для майнинга, которая задействует CPU и майнит популярную у злоумышленников монету Monero. Почему популярную? Потому что она специально оптимизирована для майнинга на центральном процессоре, поэтому до сих пор майнинг там хоть немного рентабелен.
В реальности Crypta.js представляет собой версию известной библиотеки Coinhive — легального сервиса, который открылся в сентябре 2017 года и работает до сих пор, позволяя монетизировать пользовательскую базу разработчикам программ и владельцам веб-сайтов.
Symantec расшифровала Crypta.js и нашла счёт Coinhive, куда перечисляются деньги от майнинга: da8c1ffb984d0c24acc5f8b966d6f218fc3ca6bda661. Может, когда-нибудь в будущем в таких ситуациях счёт злоумышленника будут арестовывать, а монеты с него распределять между всеми пострадавшими.
Комментарии (16)
saburovga
19.02.2019 14:12Windows Phone/Mobile мертва, к моему большому сожалению. Десктопных приложений (опять таки к сожалению) так раз и обчелся. Кто и зачем использует Microsoft Store?
Exchan-ge
19.02.2019 14:23Кто и зачем использует Microsoft Store?
Я, например, использую.
Очень удобная штука в том случае, когда внезапно появляется потребность в какой-то новой задаче* — пять минут и готово.
*Например, надо открыть документ Excel на компьютере с Win, на котором нет (или еще нет) Офиса. Или воспроизвести файл DSF (MusicBee). Или узнать, как завязать галстук )Exchan-ge
20.02.2019 00:15Все же хотелось бы услышать какие-то возражения или комментарии от человека, заминусовавшего мои коментарии.
А то как-то не по мужски получается — кинул камень в спину и молчок.
Exchan-ge
19.02.2019 14:25Windows Phone/Mobile мертва, к моему большому сожалению.
У меня она еще живее всех живых.
unlor
19.02.2019 14:31Почему «под видом GTM»? Это и есть код тег-менеджера, а через него подключают уже crypta.js.
teecat
19.02.2019 14:52+1С одной стороны, если бы разработчик написал о майнинге мелкими буквами в пользовательском соглашении, то с вероятностью 99% никто бы не заметил эту фразу, зато его действия были бы полностью легальными.
Спорно. Является ли легальной программа, где мелкие буквы выводятся шрифтом примерно нулевого размера и спрятаны в слабодоступном месте? Признак мошенничества же
CoolCmd
19.02.2019 15:33+1Можно поздравить Мелкософт, ее магазин достиг стадии «половой зрелости» — теперь там есть майнеры. Немного, правда, но не нужно отчаиваться, это только начало.
OnelaW
19.02.2019 15:54Ну а что, у Гугла майнеры есть, чем Майкрософт хуже? shitware есть, теперь вот майнеры.
CoolCmd
19.02.2019 16:04Я о том, что разработчики майнеров считают, что магазин стал достаточно популярным и поэтому можно уже на майнерах заработать. А популярность магазина и продаваемого в нем софта (в основном метрошного) — это то, о чем мечтает Мелкософт.
OnelaW
19.02.2019 16:10Ну так оно и есть. Паразитами или симбионтами майнеров трудно обозвать. Вроде как вредят, а вроде как польза. Польза может быть в том, что неподкованный пользователь меньше будет скачивать улучшатели ютуба, да и владельцы сторов может быть активнее и корректнее будут проверять, какие поделки заливаются.
0o0
20.02.2019 09:27А награбленное распределить среди людей, далеких от этих сущностей, для которых слово крипто вообще ничего не значит. И как это они собираются делать, интересно? Бросать на телефон? :)
Wizard_of_light
В криптомайнерах monero скорее из-за анонимности используют, чем из-за рентабельности майнинга (на чужой-то машине рентабельно майнить почти что угодно).
atomlib
Почему? Через браузерный джаваскрипт можно майнить только на центральном процессоре. А эти зловреды очень часто имеют «на борту» майнилку на подгружаемом джаваскрипте от Coinhive, а не полноценную реализацию какого-то алгоритма на видеоускорителе в виде отдельного специфичного для архитектуры процессора исполняемого бинарного файла.
Некоторые программы-майнеры имеют настраиваемый уровень интенсивности, что полезно для обнаружения. Monero — не единственная анонимная криптовалюта. Но и псевдонимную криптовалюту «отмывать» легко. К тому же монеровский алгоритм CryptoNight в пересчёте на ватт затраченной мощности работает с примерно одинаковой эффективностью на видеокарте и на центральном процессоре. С учётом всех этих доводов было бы логичнее нагружать видеокарту тоже. Но джаваскриптовая майнилка на это не способна.
Taraflex
В ограниченном виде можно и на gpu производить вычисления при помощи webgl трансформируя js код в код щейдера, правда мне не известно применимы ли такие оптимизации для майнинговых алгоритмов
github.com/gpujs/gpu.js