Den skadliga koden kan bland annat kontrollera konton på sociala medier, men också fungera som en bakdörr för att ta kontroll över hela offrets dator.
Företaget har hittat ett dussintal applikationer i Microsoft Store som är infekterade med Electron bot. Populära spel som "Temple Run" och "Subway Surfer" har visat sig vara skadliga. Det finns också en rad utgivare av spel där samtliga applikationer kan relateras till den skadliga kampanjen. Dessa är: Lupy games, Crazy 4 games, Jeuxjeuxkeux games,Akshi games,Goo Games, Bizon case.
Attacken inleds med att en applikation som utger sig för att vara legitim laddas ner från Microsoft Store. Via den nedladdade applikationen körs olika script och ytterligare filer laddas ner. Den skadliga koden blir kvar på offrets dator och utför där en rad olika kommandon. Angriparna har också utformat den skadliga koden för att undvika upptäckt, bland annat genom att efterlikna vanligt surfbeteende.
Den skadliga koden kan bland annat kontrollera drabbades konton på sociala medier som Facebook, Google och Sound Cloud. Programvaran kan registrera nya konton, logga in, kommentera och "gilla" andra inlägg. Säkerhetsforskarna har också sett att den skadliga koden används för bland annat ”Ad Clickers”, där en infekterad dator i bakgrunden går in på en webbplats och genererar klick på olika annonser, där klicken kan generera intäkter. Den skadliga koden kan också generera visningar och klick på YouTube och SoundCloud för att höja kontots status eller marknadsföra onlineprodukter för att generera vinst via annonsklick eller höja betyg för specifika butiker.
– Det är lätt att tro att det går att lita på allt som finns i appbutiker och att alla recensioner är tillförlitliga, men så är tyvärr inte fallet. Det finns risker med applikationer i webb- och appbutiker och du behöver vara kritisk och noggrann när du laddar ned något, säger Mats Ekdahl, säkerhetsexpert hos Check Point Software.
Företaget har identifierat flera tydliga bevis på att den skadliga koden har sitt ursprung i Bulgarien, då alla varianter mellan 2019 och 2022 av den skadliga koden laddades upp till den publika molnlagringstjänsten "mediafire.com" från Bulgarien. Flera av de konton som den skadliga koden marknadsfört kan kopplas till namnet "Ivaylo Yordanov", en populär bulgarisk brottare/fotbollsspelare.
Check Point Software har rapporterat problemen till Microsoft.