Windows 11 permette di installare le app Android disponibili su Amazon Appstore. Esistono metodi per effettuare il sideloading e per installare il Google Play Store. Quest’ultima operazione poteva essere effettuata con Windows Toolbox che tuttavia nascondeva altre funzionalità, come la distribuzione di malware.
Windows Toolbox è un trojan
Windows Toolbox, pubblicato su GitHub, consentiva di effettuare il cosiddetto “debloating” di Windows 10 e 11, ovvero la rimozione delle app preinstallate, la disattivazione di Cortana, OneDrive e Microsoft Store, e altre operazioni. Il tool poteva essere utilizzato anche per installare il Google Play Store su Windows 11. Per questa funzionalità è stato installato da molti utenti.
Qualcuno ha scoperto che Windows Toolbox era in realtà un trojan, in quanto nascondeva diversi script PowerShell che scaricavano malware sul computer.
Il codice di questi script, ospitati su un Cloudflare Worker, era stato offuscato per evitare la rilevazione. Alcuni utenti hanno scoperto che gli script prelevavano file da una repository di GitHub. Windows Toolbox creava numerose attività pianificate, tra cui la chiusura dei processi di browser noti, e la directory nascosta “C:\systemfile
” in cui venivano copiati i profili predefiniti di Chrome, Edge e Brave.
Gli script creavano inoltre un’estensione Chromium nella suddetta directory che eseguiva un altro script all’avvio del browser. L’utente veniva quindi reindirizzato verso siti infetti utilizzati per truffe di vario tipo. È necessario quindi verificare l’esistenza delle attività pianificate e della directory. Se presenti devono essere immediatamente cancellati. Consigliata anche una scansione completa del computer con un antivirus aggiornato.