Ny skadlig kod sprids via Microsoft Store – Sverige ett av de mest drabbade länderna

Säkerhetsforskare hos Check Point Software Technologies har identifierat en ny skadlig programvara som sprids på Microsofts webbutik, Microsoft Store, och som har fått namnet ”Electron bot”. Totalt sett har säkerhetsforskarna konstaterat minst 5000 infekterade enheter i tjugo länder, där Sverige är ett av de länder med flest drabbade. Den skadliga koden kan bland annat kontrollera konton på sociala medier, men också fungera som en bakdörr för att ta kontroll över hela offrets dator.

Forskarna har hittat ett dussintal applikationer i Microsoft Store som är infekterade med Electron bot. Populära spel som "Temple Run" och "Subway Surfer" har visat sig vara skadliga. Det finns också en rad utgivare av spel där samtliga applikationer kan relateras till den skadliga kampanjen. Dessa är:

• Lupy games
• Crazy 4 games
• Jeuxjeuxkeux games
• Akshi games
• Goo Games
• bizon case

Attacken inleds med att en applikation som utger sig för att vara legitim laddas ner från Microsoft Store. Via den nedladdade applikationen körs olika script och ytterligare filer laddas ner. Den skadliga koden blir kvar på offrets dator och utför där en rad olika kommandon. Angriparna har också utformat den skadliga koden för att undvika upptäckt, bland annat genom att efterlikna vanligt surfbeteende.

Den skadliga koden kan bland annat kontrollera drabbades konton på sociala medier som Facebook, Google och Sound Cloud. Programvaran kan registrera nya konton, logga in, kommentera och "gilla" andra inlägg. Säkerhetsforskarna har också sett att den skadliga koden används för bland annat ”Ad Clickers”, där en infekterad dator i bakgrunden går in på en webbplats och genererar klick på olika annonser, där klicken kan generera intäkter. Den skadliga koden kan också generera visningar och klick på YouTube och SoundCloud för att höja kontots status eller marknadsföra onlineprodukter för att generera vinst via annonsklick eller höja betyg för specifika butiker.

-Det är lätt att tro att det går att lita på allt som finns i appbutiker och att alla recensioner är tillförlitliga, men så är tyvärr inte fallet, säger Mats Ekdahl, säkerhetsexpert hos Check Point Software. Det finns risker med applikationer i webb- och appbutiker och du behöver vara kritisk och noggrann när du laddar ned något.

Forskarna har identifierat flera tydliga bevis på att den skadliga koden har sitt ursprung i Bulgarien, då alla varianter mellan 2019 och 2022 av den skadliga koden laddades upp till den publika molnlagringstjänsten "mediafire.com" från Bulgarien. Flera av de konton som den skadliga koden marknadsfört kan kopplas till namnet "Ivaylo Yordanov", en populär bulgarisk brottare/fotbollsspelare.

Check Point Software har rapporterat problemen till Microsoft.

Säkerhetstips

1. Undvik att ladda ner en applikation med få recensioner
2. Leta efter applikationer med bra och trovärdiga recensioner där också många intygar att applikationen är bra
3. Var uppmärksam på programnamnet, så att det inte är snarlikt en etablerad applikation

För mer information, se: https://research.checkpoint.com/2022/new-malware-capable-of-controlling-social-media-accounts-infects-5000-machines-and-is-actively-being-distributed-via-gaming-applications-on-microsofts-official-store/