1月17日,總部位於美國加利福尼亞州的網絡安全賽門鐵克(Symantec)在微軟官方應用商店Microsoft Store中發現了8款惡意APP,這些APP被證實會在用戶不知情的情況下使用其設備的CPU資源來挖掘門羅幣(Monero)。
賽門鐵克發現,這8款惡意APP全都是由分別名爲DigiDream、1clean和Findoo的三個開發人員發佈的,涵蓋系統清理工具、互聯網搜索工具、網頁瀏覽器以及YouTube視頻下載工具等,但實際上都會執行一個相同的惡意行爲(即使用用戶設備的CPU資源來挖掘門羅幣)。
經過進一步調查,賽門鐵克認爲所有這8款APP很可能是由同一個人或團伙開發的。
賽門鐵克表示,這8款惡意APP均可以在Windows 10上運行,包括Windows 10 S。一旦被打開,就會通過在其域名服務器中觸發Google跟蹤代碼管理器(GTM)來獲取JavaScript挖礦腳本。隨後,挖礦腳本將會被激活,並開始使用計算機的大部分CPU資源來挖掘門羅幣。
調查顯示,這8款APP都是在2018年4月至12月期間發佈的(其中,大多數都是在2018年年底發佈的)。儘管從上架的時間上來看,這些APP在Microsoft Store上的存在時間相對較短,但實際上仍有大量用戶已經下載了它們。
使用Coinhive挖礦腳本挖掘門羅幣
賽門鐵克的分析表明,這些惡意APP使用的域名在清單文件中是硬編碼的。
每一款APP在被打開之後,都將在後臺靜默訪問這些域名,並使用密鑰GTM-PRFLJPX來觸發GTM。值得注意的是,這個密鑰在所有這8款APP應用程序中都是相同的。
GTM是一種合法工具,允許開發人員將JavaScript動態注入APP。然而,GTM也能夠被濫用來隱藏惡意或危險行爲,因爲存儲在GTM中的JavaScript鏈接是“hxxps://www.googletagmanager.com/gtm.js?id={GTM ID}”,並不表示該函數調用的代碼。
通過監控來自這些APP的網絡流量,賽門鐵克發現它們都會連接到以下網址,指向一個JavaScript挖礦腳本:hxxp://statdynamic.com/lib/crypta.js。
解碼之後,賽門鐵克發現它是Coinhive腳本(一種門羅幣挖礦腳本)的一個修改版本。自Coinhive服務於2017年9月推出以來,已有許多報道稱其會在網站訪問者不知情的情況下利用其設備的CPU資源來進行挖礦操作。
8款惡意APP共享相同的域名服務器
從這些APP的網絡流量中,賽門鐵克發現了每款APP對應的域名服務器。通過Whois查詢,賽門鐵克發現所有這些服務器實際上都具有相同的來源。也正是這一點,導致賽門鐵克認爲這些APP很可能是由使用不同域名的同一個人或團伙開發的。
目前,賽門鐵克已經向微軟和谷歌通報了這些APP的惡意行爲,而微軟也已經從其商店中刪除了這些APP。另一方面,指向JavaScript挖礦腳本惡意鏈接也已經從Google跟蹤代碼管理器中刪除。