Até agora, malware oculto foi detectado regularmente na Google Play Store. No entanto, verifica-se que os aplicativos da Microsoft Store também não estão livres de ameaças. Especialistas em segurança cibernética da Check Point Research acabam de anunciar a descoberta de um malware que infectou mais de 5.000 programas nos últimos meses. Computadores em vinte países. A maioria das vítimas vem da Suécia, Bermudas, Israel e Espanha.

Dezenas de aplicativos infectados

Deveria haver dezenas de aplicativos infectados na Microsoft Store, incluindo jogos populares como “Temple Run” e “Subway Surfer” de seis editoras. O malware Electron-bot embutido nele foi capaz de controlar principalmente as contas de mídia social Facebook, Google e Sound Cloud.

Entre as possibilidades de malware, os analistas da Check Point mencionam, entre outras:

Envenenamento de SEO, ou seja , uma maneira pela qual os cibercriminosos criam sites maliciosos e usam técnicas de otimização de mecanismos de pesquisa para exibi-los com destaque nos resultados de pesquisa;
– Clique no anúncio , ou seja, gere cliques nos anúncios,
– Promova contas nas redes sociais
– Promova produtos online para gerar receita com anúncios, por exemplo.

Além disso, como o Electron Bot é carregado dinamicamente, os invasores podem usar o malware instalado como backdoor para assumir o controle total dos computadores das vítimas.

Nosso teste analisou um novo malware chamado Electron-Bot que atacou mais de 5.000 vítimas em todo o mundo. O Electron-Bot é facilmente distribuído através da plataforma oficial da Microsoft Store. A estrutura Electron dá aos aplicativos acesso a todos os recursos do computador, incluindo processamento de GPU. Como a carga útil do bot é carregada dinamicamente em tempo de execução, os invasores podem modificar o código e alterar o comportamento dos bots para um perfil de alto risco. Por exemplo, eles podem iniciar o próximo segundo estágio e baixar novos malwares, como ransomware ou RAT. Tudo isso pode acontecer sem o conhecimento da vítima. Infelizmente, a maioria das pessoas considera as avaliações da App Store confiáveis ​​e não hesita em baixar o aplicativo de lá. No entanto, o risco existe porque você nunca sabe quais elementos maliciosos baixar. Daniel Alema, analista de malware da Check Point Research explica.

Os pesquisadores da Checkpoint descobriram evidências de que o malware pode ter se originado na Bulgária. Todas as variantes em 2019-2022 foram carregadas na nuvem pública búlgara “mediafire.com”, a conta promovida da Sound Cloud e o canal do YouTube são chamados de “Ivaylo Yordanov” (ele é um famoso lutador/jogador de futebol búlgaro), enquanto a Bulgária é o país no código fonte. A Check Point Research informa que notificou a Microsoft de todos os editores de jogos associados à campanha.

É assim que o ataque funciona

Uma campanha de malware funciona nas seguintes etapas:

1. O ataque começa com a instalação de um aplicativo da loja da Microsoft fingindo ser legítimo

2. Após a instalação, o invasor baixa arquivos e executa scripts

3. O malware baixado fixado em seu computador torna-se vítima ao executar repetidamente comandos diferentes enviados do C&C do invasor

Para evitar a detecção, a maioria dos scripts de controle de malware são carregados dinamicamente em tempo de execução dos servidores atacantes. Isso permite que os invasores modifiquem a carga útil do malware e alterem o comportamento da botnet a qualquer momento. O malware usa a plataforma Electron para imitar o comportamento de navegação humana e ignorar a segurança do site.