Malware depistat în Windows Toolbox, o aplicație care instalează Google Play Store pe Windows 11

18.04.2022
Malware depistat în Windows Toolbox, o aplicație care instalează Google Play Store pe Windows 11

Windows 11 a primit capabilitatea de a rula nativ aplicații de Android din magazinul Amazon AppStore, însă există soluții și pentru cei care vor acces direct la aplicațiile din Google Play Store. Se pare însă că cei care au ales să folosească o anumită soluție software care să permită acest lucru s-au trezit și cu malware pe computere. Astfel, dacă folosiți aplicația Windows Toolbox pentru a accesa Play Store pe Windows 11, sau pentru alte modificări ale sistemului de operare, s-ar putea ca datele voastre să fie compromise.

Windows Toolbox, aplicație pentru modificarea Windows 10 și 11, include malware

Conform Bleeping Computer, aplicația Windows Toolbox, disponibilă inclusiv pe GitHub, este de fapt un troian, care, deși face într-adevăr ceea ce promite, adică permite activarea Office sau Windows fără o cheie validă, elimină anumite servicii și aplicații din Windows pentru „debloating” și oferă acces la Google Play Store, acesta instalează și câteva lucruri ascunse.

Windows Toolbox poate să descarce în fundal aplicații și fișiere fără știrea utilizatorului prin intermediul comenzilor din interfața Power Shell. Totul este realizat printr-un „worker” găzduit pe Cloudfare, care face totul automat. Odată instalat, malware-ul putea rula în fundal și redirecționa automat utilizatorii către diverse site-uri care afișau reclame sau către link-uri de afiliat pe diverse magazine online. De asemenea, un folder numit „systemfile” în drive-ul principal copia datele din browser-ele Chrome, Edge și Brave, cu toate informațiile atașate contului de utilizator implicit.

Pentru a verifica dacă sunteți afectați de acest malware după ce ați folosit Windows Toolbox, afișați folder-ele ascunse din Windows și verificați dacă aveți un folder în drive-ul C: numit „systemfile”. Dacă acesta există, este posibil să existe și folder-ele în care sunt ascunse alte componente ale malware-ului precum folder-ele „pywinvera” și „pwinveraa” din C:\Windows\security, cât și fișierul winver.png, situat în aceeași locație. Este indicată ștergerea completă a acestor fișiere și folder-e.

sursa: Bleeping Computer