Den falska appen stal offrets referenser och minerade kryptovaluta utan användarens tillåtelse eller vetskap.
Den officiella Google Chrome-tilläggswebbplatsen är den säkraste platsen att ladda ner tillägg, men den är inte på något sätt ogenomtränglig. Bevis för detta framkom nyligen efter att Google tog bort ett falskt Microsoft Authenticator-tillägg från sin Chrome-butik.
The Unauthentic Authenticator i Chrome Store
Som rapporterats av The Register har Google just tagit bort en falsk Microsoft Authenticator-app från sin Chrome-butik. Detta inträffade cirka 24 timmar efter att internet lyste upp med rapporter om bedragarens app.
Bedragarna missbrukade sannolikt det faktum att Microsoft ännu inte har en officiell Authenticator-tillägg för Chrome. Som sådan, genom att ladda upp sin egen skadliga version, skulle den visas högst upp i sökresultaten utan någon officiell app för att bestrida det.
Lyckligtvis fanns det tecken på att appen inte var legitim. Till exempel hävdade appen inte att Microsoft utvecklat den; istället angavs företagsnamnet som bara “Extension”.
Trots detta såg tillägget hundratals nedladdningar och hade ett trestjärnigt betyg vid tidpunkten för raderingen. Som sådan skulle användare som inte kontrollerade tilläggets fullständiga referenser sannolikt falla i fällan.
Vi vet inte hela omfattningen av vad den falska autentiseringsappen gjorde när någon laddade ner den. Rapporter visar dock att den visade falska Microsoft-inloggningssidor för att nätfiska efter människors lösenord. Det orsakade också hög CPU-användning, vilket innebar att den troligen ägnade sig åt kryptojackning.
Naturligtvis hade Microsoft några utvalda ord för Google Chrome-butiken i ett uttalande till The Register:
Microsoft har aldrig haft en Chrome-tillägg för Microsoft Authenticator. Företaget uppmuntrar användare att rapportera misstänkta tillägg till Chrome Web Store.
Denna senaste händelse kastar lite ljus över säkerheten i Chrome Web Store. Till exempel, hur kom någon igenom Googles säkerhet genom att ladda upp en app utan att använda den officiella utvecklarprofilen “Microsoft Corporation” på Chrome Web Store?
Oavsett vilket visar det att du inte helt kan lita på varje app på internet, även om den finns i en officiell appbutik. Om du har laddat ner några Microsoft Authenticators för Chrome tidigare, se till att ta bort dem ASAP, kör sedan en virussökning och ändra lösenordet för ditt Microsoft-konto för att säkerställa att allt är okej.
En dålig rap för Google App Store
Microsoft har inte en officiell Authenticator-tillägg släppt i skrivande stund, så om du ser en i naturen, behandla den med extrem försiktighet. En nyligen genomförd bluff visade att allt inte är som det verkar, men är det mer användarens fel eller Googles för att släppa in det i sin butik i första hand?
Bedrägerier som detta händer i alla appbutiker, men det finns sätt att skydda dig själv. Genom att kontrollera recensionerna, antalet nedladdningar och utvecklaren kan du bättre dra av om appen du tittar på är den verkliga affären eller inte.
Bildkredit: Tartila/Shutterstock.com
Om författaren
Simon Batt (719 publicerade artiklar)
En kandidatexamen i datavetenskap med en djup passion för allt som rör säkerhet. Efter att ha arbetat för en indiespelsstudio fann han sin passion för att skriva och bestämde sig för att använda sina färdigheter för att skriva om allt som rör teknik.
Mer från Simon Batt
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, free e-böcker och exklusiva erbjudanden!
Klicka här för att prenumerera
