パスワードを忘れた? アカウント作成
15627775 story
Android

Windows 11 に Google Play ストアをインストールするスクリプト、マルウェアを含んでいたことが判明 23

ストーリー by headless
判明 部門より
Windows 11 の Android アプリ実行環境で Google Play ストアを利用可能にするツールの一つである「Powershell Windows Toolbox」が実行時にマルウェアをインストールしていたことが判明し、GitHub から削除されている (Bleeping Computer の記事On MSFT の記事Neowin の記事Windows Central の記事)。

Powershell Windows Toolbox はその名の通り PowerShell スクリプトで、Google Play ストアをインストールするほか、Windows のプリインストールアプリ削除・再インストールや各種カスタマイズなどの機能を備える。GitHub リポジトリに置かれていたのはドキュメントのみで、スクリプト自体は Cloudflare Workers でホストされているものを実行するよう説明していた。スクリプトは一見無害だが、難読化された部分に Cloudflare Workers でホストされた悪意あるスクリプトや、GitHub でホストされたツール類をダウンロードするコードが含まれていたという。

ダウンロードが指定されたスクリプトの中には既に入手できなくなっているものもあり、攻撃の全貌は確認できないが、悪意あるスクリプトは米国のユーザーをターゲットにしているそうだ。具体的な活動としてはタスクスケジューラーに複数のタスクを登録するほか、「C:\systemfile」フォルダーを作成して Chrome / Edge / Brave のデフォルトプロファイルをコピーし、拡張機能を生成する。また、「C:\Windows\security」以下に「pywinvera」「pywinveraa」「winver.png」という名前の Python ファイルをインストールするとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年04月16日 14時47分 (#4233690)

    google playへの対応よりも、
    MS Office 365/2019/2016/2013/2010やWindows 11/10/8を買わなくても使える状態にする(アクティベーションする)ためのツールとして有名だったんじゃないのかな。
    この手のツールはマルウェア混入していない方が珍しいレベルだから驚くに値しないかな。

    • by Anonymous Coward

      この手のツールはマルウェア混入していない方が珍しいレベルだから驚くに値しないかな。

      見分け方は難読化かな
      Githubなりでソース公開しているのに難読化している時点でお察し
      ソース難読化は仕込みがある自白と思っていいんじゃないかと

      # issueが無いまたは荒れているものも避けた方がいい

      • by Anonymous Coward

        自分はissue付けてない。プルリクも非表示にできるならしたい。
        「自由に使ってね、でも要望は受け付けません。」ってスタンスを取りたい。

      • by Anonymous Coward

        シェルの難読化はそんなに難しくないけど、マルウェアってどうやって作るんだろ。送るのにJavamail 使うと直ぐバレそう。

      • by Anonymous Coward

        このツールがHow-To Geek [howtogeek.com]という海外のサイトで取り上げられた際に、難読化コードが含まれているのはおかしくね?と指摘した人はいたようだ。なお、UserAgentに応じてダウンロードするペイロードが変わっていたらしい。普通のブラウザでアクセスすると無毒なスクリプトにしか見えないが、ツール経由でダウンロードすると……という偽装がされていると、見抜くのは難しい。
        https://twitter.com/psrdrgzDFWTexas/status/1504887462505689089 [twitter.com]

  • 、って理解で合ってますかね?

    マルウェア仕込まれても文句言えねー立場じゃないっすか?
    知らんけど。

    • by Anonymous Coward

      そんな感じに見える
      Aurora Storeのようなスタイルなら文句なかった?

    • by Anonymous Coward

      マルウェア仕込まれても文句言えねー立場じゃないっすか?

      それ以前に「UNIX開発者のバックドアを思い出せ」で済む話かと

      # OSSで難読化な時点でお話にならんし

      • by Anonymous Coward

        OSSだったの?GitHubからDLできても、OSSかどうかはライセンス見るまで分からないのだが…。
        少なくともBleeping Computerの記事には、OpenとかOSSとかは一言も書いてないぞ。

        • by Anonymous Coward

          OSSを謳ってた。記憶が確かなら。ハッタリだったけど。

      • by Anonymous Coward

        Githubにあったものは不審なURLから何かを取ってくるというコマンドだけであって、
        GitHub上に難読化されたコードが掲載されてたわけじゃないようだぞ。
        なにか勘違いしてないか?

  • by Anonymous Coward on 2022年04月16日 16時20分 (#4233713)

    他ツリーにあるとおり、よくある「githubに置いてあるっぽいけど、本体は全然別のところにあるあやしい」やつ。
    本体は*.workers.devにあって、archive.orgが捕捉してるので、手口を後追いしたい俺みたいな奴は見に行くといい

    ってことで、workers.devにアカウントつくったぜ! (乗り遅れてた&これが言いたかった

    • by Anonymous Coward

      入口だけをGithubにして信用させる形なんですかね。
      一種の踏み台かしら?

  • by Anonymous Coward on 2022年04月16日 21時57分 (#4233872)

    言われるがままcurlでshをダウンロードして中身もろくに見ずに実行とかようやるわ

    • by Anonymous Coward

      今回の例は、中身見てもわからんかったけどね。
      curl使ってたら、実行時と違うものがダウンロードされるわけだし。

      • by Anonymous Coward

        せやけど他のところから更にダウンロードしてること自体おかしいなって思うやん
        実際中身見て不審に思った人 [srad.jp]もいるみたいやし

        じゃあバイナリとかDockerイメージ全部検めてから実行するんか言われたら「うっ」ってなるけど……

  • by Anonymous Coward on 2022年04月17日 16時30分 (#4234082)

    apkファイルをインストールしやすくするWSATools [wsatools.app](https://github.com/Simizfo/WSATools [github.com])とは別のやつか

  • by Anonymous Coward on 2022年04月18日 16時38分 (#4234708)

    私はこのアンドロイドが好きではありませんが、Windows11タスクバー [freefonto.con]はとてもいいと言わなければなりません。 素晴らしい記事をありがとう。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...