Gli esperti di sicurezza informatica hanno scoperto che uno strumento per installare Google Play Store su Windows 11 era in realtà un malware. L’informazione è stata svelata in un articolo su BleepingComputer, che svela anche come questa pratica avrebbe colpito centinaia di utenti della nuova versione del sistema di Microsoft.
Il malware, classificato come trojan, era disponibile su GitHub per consentire agli utenti di aggiungerlo al popolare app store Android, oltre ad attivare illegalmente Microsoft Office su Windows. Quando viene eseguito, il programma di installazione scaricherà diversi file potenzialmente dannosi sul dispositivo.
Quando è stato rilasciato Windows 11 ha attirato l’attenzione del pubblico per la sua compatibilità con le app Android tramite il sottosistema Windows per Android, ma molti non erano contenti della sua limitazione all’App Store di Amazon, uno store con meno titoli rispetto al Google Play Store e hanno cercato modi alternativi per ottenere l’implementazione.
È in questo contesto che Windows Toolbox, come veniva chiamato, ha acquisito grande popolarità tra le vittime. Il creatore del malware ha fornito una riga di codice da eseguire in Windows PowerShell che, in teoria, eseguirebbe l’installazione dell’app store e altre attività “ricerche” degli utenti, come la disabilitazione di Cortana.
La riga di codice ha caricato uno script ospitato da Cloudfare, che di fatto ha apportato le modifiche promesse, ma ha scaricato segretamente file di diversi tipi, inclusi eseguibili, codice in formato .bat e distribuzioni programmate da Python, che ha terminato i processi e copiato i dati da browser in una cartella nascosta.
Secondo gli esperti, la funzionalità principale del malware consiste nell’installare un’estensione per Chromium, in modo che sia compatibile con Google Chrome e Microsoft Edge. Questo componente ha tracciato la geolocalizzazione dell’utente e reindirizzato a pagine dannose con tipici attacchi di phishing, come i siti che promettono di generare “soldi facili” per le vittime.
BleepingComputer consiglia agli utenti potenzialmente interessati di verificare l’esistenza di una cartella denominata “file di sistema” sul disco locale “C”, in cui è installato Windows e rimuoverlo, oltre a eliminare tutto il contenuto delle cartelle “pywinvera” e “pywinveraa” nell’indirizzo “C:\Windows\security”.
