Хотя встретить вредоносное ПО на Android довольно редко, иногда оно просачивается сквозь защиту и представляет угрозу. Однако недавно одна фирма по безопасности сделала интересное открытие: 132 приложения в Google Play тайно скрывали возможность заражать устройства пользователей вредоносным ПО. В частности, вредоносным ПО, предназначенным для Windows…
Palo Alto Networks объясняет, что эти 132 приложения были от разных разработчиков, но в основном содержали одни и те же тщательно скрытые теги IFrame, которые связывали приложение, а следовательно, и устройство, с парой очень малоизвестных, но вредоносных доменов. В одном случае приложение использовало язык Visual Basic от Microsoft для загрузки всего вредоносного кода непосредственно в приложение.
Целью всего этого было загружать межстраничные объявления и запускать основные вредоносные приложения. Все это довольно сложная работа, поэтому интересно видеть, что, в конечном итоге, ничто из этого на самом деле не может ничего сделать. Вредоносное ПО для Windows совершенно неспособно работать в операционной системе Android. Кроме того, два из используемых доменов, brenz.pl и chura.pl, были фактически отключены польскими службами безопасности почти 4 года назад.
Какова же была цель? У Palo Alto Networks есть теория: возможно, эти разработчики просто использовали один и тот же код, не зная, что он вредоносный. Фирма объясняет:
132 обнаруженных нами зараженных приложения принадлежат семи различным, не связанным между собой разработчикам. Существует географическая связь между этими семью разными разработчиками: все семеро имеют связи с Индонезией. Самый очевидный намек — название приложения. Значительное число обнаруженных образцов содержит слово «Indonesia» в своих названиях. Кроме того, веб-сайт одного из разработчиков ссылается на страницу личного блога, написанную на индонезийском языке. Однако самым явным указанием является сертификат одного из разработчиков, в котором четко указано, что штатом является Индонезия.
Один из распространенных способов заражения HTML-файлов вредоносными IFrames — это файловые вирусы, такие как Ramnit. После заражения хоста Windows эти вирусы ищут на жестком диске HTML-файлы и добавляют IFrames к каждому документу. Если разработчик был заражен одним из этих вирусов, HTML-файлы его приложения могли быть заражены. Однако, учитывая, что все разработчики могут быть из Индонезии, возможно, они скачали зараженную IDE с одного и того же хостингового сайта или использовали одну и ту же зараженную онлайн-платформу для генерации приложений.
В любом случае, мы считаем, что разработчики не являются злоумышленниками, а жертвами этой атаки. Есть несколько других подтверждающих свидетельств из нашего расследования:
- Все образцы имеют сходства в структуре кода, что указывает на то, что они могут быть сгенерированы одной и той же платформой;
- Оба использованных вредоносных домена разрешаются в sinkholes. Если бы разработчики были атакующими за всем этим, они могли бы заменить их рабочими доменами, чтобы нанести реальный ущерб;
- Один зараженный образец пытается загрузить исполняемый файл Windows. Это предполагает, что атакующий не знает о целевой платформе. Очевидно, что для разработчиков приложений это не так.
Независимо от того, было ли это преднамеренным действием или нет, приложения не причинят никаких проблем вашему устройству Android, если вы их используете. Вы можете узнать больше об этой проблеме, включая некоторые из зараженных приложений, в полном посте в блоге Palo Alto.