Especialistas de segurança cibernética descobriram que uma ferramenta para instalar a Google Play Store no Windows 11 era, na verdade, um malware. As informações foram reveladas em uma matéria do BleepingComputer, tal que revela também como essa prática teria afetado centenas de usuários da nova versão do sistema da Microsoft.
O malware, classificado como trojan (cavalo de troia), estava disponível no GitHub para que usuários adicionassem a popular loja de aplicativos do Android — além de realizarem ativação ilegal do Microsoft Office — no Windows. Ao ser executado, o instalador baixava diversos arquivos potencialmente maliciosos no dispositivo.
Ao ser lançado, o Windows 11 chamou a atenção do público por sua compatibilidade com aplicativos do Android através do “Subsistema do Windows para Android”, mas muitos ficaram descontentes com sua limitação à Amazon App Store — loja com menos títulos que a Google Play Store — e buscaram formas alternativas para obter as aplicações.
É nesse contexto que o Windows Toolbox, como era chamado, adquiriu grande popularidade entre as vítimas. O criador do malware disponibilizava uma linha de código para ser executada no PowerShell do Windows que, na teoria, realizaria a instalação da loja de aplicativos e outras tarefas “desejadas” pelo usuário, como desativação da Cortana.
A linha de código carregava um script hospedado no Cloudfare que, de fato, realizava as alterações prometidas, mas secretamente baixava arquivos de diferentes tipos — incluindo executáveis, códigos em formato .bat e distribuições programadas em Python — que encerrava processos e copiava dados de navegadores para uma pasta oculta.
Segundo os especialistas, a principal funcionalidade do malware é instalar uma extensão para o Chromium, de modo que fosse compatível com o Google Chrome e o Microsoft Edge. Esse componente rastreava a geolocalização do usuário e redirecionava a páginas maliciosas com típicos ataques de phishing, como sites que prometem gerar “dinheiro fácil” às vítimas.
O BleepingComputer orienta que os usuários potencialmente afetados devem checar a existência de uma pasta chamada “systemfile” no disco local (“C:”, geralmente) em que o Windows está instalado e removê-la, além de excluir todo o conteúdo das pastas "pywinvera" e "pywinveraa" no endereço “C:\Windows\security”.
