Windows 11にGoogle Playストアをインストールのスクリプト、マルウェアが判明

Windows 11 の Android アプリ実行環境で Google Play ストアを利用可能にするツールの一つである「Powershell Windows Toolbox」が実行時にマルウェアをインストールしていたことが判明し、GitHub から削除されている(Bleeping Computer の記事、On MSFT の記事、Neowin の記事、Windows Central の記事)。

Powershell Windows Toolbox はその名の通り PowerShell スクリプトで、Google Play ストアをインストールするほか、Windows のプリインストールアプリ削除・再インストールや各種カスタマイズなどの機能を備える。GitHub リポジトリに置かれていたのはドキュメントのみで、スクリプト自体は Cloudflare Workers でホストされているものを実行するよう説明していた。スクリプトは一見無害だが、難読化された部分に Cloudflare Workers でホストされた悪意あるスクリプトや、GitHub でホストされたツール類をダウンロードするコードが含まれていたという。

ダウンロードが指定されたスクリプトの中には既に入手できなくなっているものもあり、攻撃の全貌は確認できないが、悪意あるスクリプトは米国のユーザーをターゲットにしているそうだ。具体的な活動としてはタスクスケジューラーに複数のタスクを登録するほか、「C:\systemfile」フォルダーを作成して Chrome / Edge / Brave のデフォルトプロファイルをコピーし、拡張機能を生成する。また、「C:\Windows\security」以下に「pywinvera」「pywinveraa」「winver.png」という名前の Python ファイルをインストールするとのことだ。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | Windows | Android

　関連ストーリー：
新デザインのメモ帳やメディアプレイヤー、非 Insider の Windows 11 にも提供開始 2022年02月18日
偽の「Get Windows 11」サイトでマルウェアキャンペーン 2022年02月13日
Windows 10 / 11 の月間アクティブデバイスは 14 億台、PC の新しい時代は来たのか 2022年01月29日