As aplicações encontradas nesta atividade são:
- Fast-search Lite
- Battery Optimizer (Tutorials)
- VPN Browsers+
- Downloader for YouTube Videos
- Clean Master+ (Tutorials)
- FastTube
- Findoo Browser 2019
- Findoo Mobile & Desktop Search
Os scripts de mineração aproveitavam-se da biblioteca da Google, o Google Tag Manager (GTM). É um sistema que permite que os desenvolvedores façam injeção de conteúdo em HTML e Javascript dentro das suas aplicações para fins de tracking e análise.
Assim que uma das aplicações citadas é iniciada, chama uma biblioteca de mineração em Javascript através da GTM nos servidores. Daí, o script é ativado e começa a abusar dos recursos dos dispositivos de forma a minerar Monero.
Segundo análise dos investigadores, todos os servidores tinham a mesma origem, pelo que as aplicações foram provavelmente publicadas pelos mesmos desenvolvedores mas sob diferentes nomes.
O que fazer para mitigar esta ameaça
- Manter o software atualizado
- Não baixar aplicações de sites desconhecidos
- Só instalar aplicações de fontes conhecidas - Prestar muita atenção às permissões que as apps detêm
- Prestar também muita atenção ao uso da memória e CPU do computador ou dispositivo
- Instalar uma aplicação de segurança ajustada de forma a proteger o dispositivo ou os dados: da Symantec ou mesmo do Norton
- Fazer backups frequentes de dados importantes
Mais informações aqui: https://www.bleepingcomputer.com/news/security/cryptojacking-coinhive-miners-land-on-the-microsoft-store-for-the-first-time/