Специалисты Palo Alto Networks обнаружили в каталоге Google Play нечто странное: 132 разных приложения, некоторые из которых имели более 10 000 установок, пытались заразить пользователей Android вредоносами для Windows.
Исследователи сообщают, что обнаруженные приложения принадлежали семи разными индонезийским разработчикам, которых вряд ли можно винить в случившемся — скорее всего, они сами стали жертвами злоумышленников. Дело в том, что все приложения содержали вредоносные теги ifame. Эти «закладки» вели на два домена (brenz.pl и chura.pl) , которые еще в 2013 году были переданы в руки властей, а польский CERT задействовал для них свой sinkhole-сервер.
Все обнаруженные в Google Play приложения объединяло одно: они использовали Android WebView для отображения статических HTML-страниц. Каждая их таких страниц, в сущности, не делала ничего, только загружала локальные изображения и отображала жестко закодированный текст. Однако именно в HTML-коде страниц были найдены опасные ifame-теги. Стоит сказать, что ifame старались быть максимально незаметными, ширина и высота умышленно устанавливались на 1 пиксель.
К тому моменту, когда исследователи Palo Alto Networks занялись расследованием происходящего, оба вредоносных домена уже не работали. Тем не менее, исследователи заметили, что одно из приложений содержало инжект VBScript и пыталось скачать вредоносный исполняемый файл для Windows (который, конечно, не запускался, так как устройства работали не на Windows, а на Android).
Специалисты полагают, что разработчики приложений пострадали от малвари, вроде вредоноса Ramnit. Такие угрозы заражают Windows-машину и затем ищут HTML-файлы в системе, незаметно внедряя в них вредоносные iframe. Но учитывая тот факт, что все разработчики были из Индонезии, исследователи предполагают, что речь может идти и том, что сама платформа разработки пострадала от атаки. Разработчики могли скачать зараженный софт с одного и того же сайта или использовать одну онлайновую платформу для создания приложений. Нечто похожее уже случалось, достаточно вспомнить вредоноса XcodeGhost для iOS и macOS: тогда злоумышленники умышленно вбросили в сеть фальшивую версию Xcode.
В любом случае эксперты уверены, что разработчики стали такими же жертвами, как и пользователи. К счастью, Windows-малварь не работает на Android, поэтому от атаки никто не пострадал. Специалисты Google уже удалили все скомпрометированные приложения из официального каталога.