Malware em jogos na loja da Microsoft já infectou 5 mil dispositivos
A empresa de soluções de segurança online Check Point Research identificou um novo malware que está sendo distribuído por meio de aplicativos da loja oficial da Microsoft. A CPR calculou 5 mil vítimas em 20 países até o momento; os pesquisadores orientam que os usuários excluam imediatamente os aplicativos de vários editores e produtoras.
O malware Electron-bot, denominação dada pela equipe da CPR, consegue controlar contas de redes sociais das vítimas, incluindo Facebook, Google e SoundCloud. O malware pode registar novas contas, iniciar sessão, comentar e curtir posts.
O Electron-bot tem a capacidade de “envenenar” o SEO, um método de ataque em que os cibercriminosos criam um site malicioso e utilizam a tática de otimização do mecanismo de busca para que apareça nos resultados de pesquisa. Este método é também usado para vender outros serviços e promover outros sites.
O malware também atua no Ad Clicker, uma infecção do computador que é executada em segundo plano e se conecta constantemente a sites remotos para gerar “cliques” para anúncios, obtendo lucro financeiro com a quantidade de vezes que um anúncio é clicado. Também consegue promover contas de redes sociais, como o YouTube ou SoundCloud para redirecionar o tráfego para um conteúdo específico e aumentar as visualizações e cliques nos anúncios para gerar lucros e ainda promover produtos online, a fim de gerar lucros com cliques em anúncios ou aumentar a classificação da loja para mais vendas.
O payload do Electron-bot é carregado dinamicamente, o que significa que os atacantes podem utilizar o já instalado malware como porta de entrada para obter o controle total da máquina da vítima.
Segundo essa análise, existem diversos aplicativos infectados na loja da Microsoft. Jogos populares como “Temple Run” ou “Subway Surfer” foram considerados maliciosos. A CPR detectou diversos editores e produtoras de jogos maliciosos, em que todos os seus aplicativos estavam relacionados com a campanha maliciosa do Electron-bot.
Até ao momento, a CPR verificou 5 mil vítimas em 20 países; a maioria delas localizam-se na Suécia, Bermudas, Israel e Espanha.
A campanha do malware funciona a partir dos seguintes passos:
1.O ataque começa com a instalação de um aplicativo da Microsoft Store que parece ser legítimo.
2.Após a instalação, o atacante baixa os arquivos e executa os scripts.
3.O malware, que já foi baixado, persiste na máquina da vítima, executando repetidamente vários comandos enviados pelo sistema C&C (Command&Control) do atacante.
Para evitar a detecção, a maioria dos scripts que controla o malware é carregada dinamicamente pelo servidor dos atacantes. Isso permite que eles modifiquem a carga útil (payload) do malware e alterem o comportamento dos bots a qualquer momento. O malware utiliza a estrutura Electron-bot para imitar o comportamento de navegação de uma pessoa e evitar as proteções do site.