De zogeheten Electron Bot malware is op de Microsoft Store terecht gekomen en weet zich te verspreiden door zich te vermommen als populaire games, waaronder SubwaySurfer en Temple Run. Na infectie houdt de malware zich bezig met beïnvloeding van sociale media, klikfraude en SEO poisoning, aldus beveiligingsbedrijf CheckPoint.
De malware krijgt zijn naam van de Electron softwareframework waarmee deze is gebouwd. Na infectie opent de malware een verborgen browser window en doet deze zich voor als echte gebruiker door websites in te laden en gedrag na te bootsen. Door muisbewegingen, scrollgedrag en toetsenbord input te simuleren, kan de malware zich voor websites en bij Google voordoen als een legitieme gebruiker.
Wat willen de malwaremakers?
Bij installatie zorgt de malware dat het de volledige controle over het systeem verkrijgt. Hierdoor is handmatige real-time interactie met het systeem, en het op afstand uitvoeren van code (remote code execution) mogelijk. Voor zover bekend zijn er zo’n 5000 gebruikers die de malware hebben gedownload. Volgens de beveiligingsonderzoekers van Checkpoint heeft de malware de volgende motieven:
Promotie op Sociale Media: veel van de functionaliteit lijkt gericht om sociale media te beïnvloeden. Zo kan de malware sociale media accounts aanmaken en voorgeprogrammeerde comments plaatsen, bijvoorbeeld bij YouTube video’s.
Promotie van producten: Zowel op sociale media als op advertentiegebied wordt de malware ingezet om bepaalde producten in een positief daglicht te zetten. Nepreviews, nep comments en posts die specifieke producten promoten zijn allemaal mogelijk.
Klikfraude: de malware opent websites op de achtergrond en klikt buiten het zicht van de gebruiker op advertenties. Zo lijkt het voor adverteerders alsof een advertentie op bepaalde websites beter presteert dan in werkelijkheid het geval is.
SEO Poisoning: Door bepaalde websites bij specifieke zoektermen te bezoeken, lijkt het voor Google of een site goede content heeft voor die zoekopdrachten. In werkelijkheid zijn dit onbetrouwbare websites, zoals phishing websites, of websites die malware of valse informatie verspreiden.
Hoe kan de malware op de Microsoft Store staan?
Allereerst doet de malware zich voor als verschillende populaire games. Dit zijn vaak simpele games als Temple Run. Daarnaast zorgen de makers ervoor dat de pagina wel een aantal reviews heeft. Tot slot werken de spelletjes gewoon naar behoren; alle kwaadaardige activiteit gebeurt op de achtergrond. De bestandsgrootte is ook normaal, want de schadelijke elementen worden pas achteraf gedownload.
De malware lijkt dan ook geen schade bij gebruikers aan te richten. Toch heeft de malware zulke verregaande toegang dat de cybercriminelen altijd nog achteraf andere malware pakketten zouden kunnen toevoegen. Om te voorkomen dat je dit soort malware downloadt, moet je als gebruiker letten op het aantal reviews en de uitgever van de applicatie. Bovendien moet je de spelling van de naam van de applicatie scherp controleren.
