MKD-CIRT National Centre for Computer Incident Response
Истражувачите за сигурност на информации најдоа траги од Windows малициозен софтвер во 132 апликации за Android на официјалниот сајт на Google Play Store.
Според експертите за сигурност на информации, сите 132 апликации содржат iframe со мали димензии во изворниот код на HTML страниците кои се прикажуваат кај корисниците.
Овој iframe се обидува да се поврзе со далечински сервери и да преземе други податоци. Во моментот кога истражувачите наидоа на инфицирани апликации, сите далечински сервери беа недостапни, затоа што овие сервери се веќе познати жаришта за малициозни активности и се вклучени во многу кампањи за дистрибуција на Windows малициозен софтвер.
CERT Полска блокираше два домени во 2013 година, по серија напади од поголеми размери.
Една апликација се обиде вметне exe датотека на Android уредите
Во еден изолиран случај, покрај iframe изворниот HTML код, исто така содржи VBScript коja се обидува вметне Base64 кодирана Windows апликација на телефонот на корисникот.
Секако, оваа датотека не може да направи штета на Андроид телефон, бидејќи Андроид не може да изврши exe фајлови.
Истражувачите од Пало Алто мрежи, кои ги откриле инфицираните апликации, информираат дека овој EXE фајл може да направи промени во hosts датотеката, во поставувања на Windows Firewall, да вметне код во друг процес и самиот да се копира.
Уредите на Android не беа цел на овие инфекции
Оваа exe датотеката и фактот дека некои iframes поврзани со домени кои четири години се блокирани заради спречување на малициозни активности, ги убедија истражувачите дека овие апликации не биле заразени намерно од страна на нивните програмери, туку програмерите на апликациите биле жртви на малициозен софтвер.
Пало Алто информира дека програмерите, најверојатно презеле малициозенa софтверска апликација за развој на софтвер (IDE – Integrated Development Environment), која тајно додавала iframe код во сите HTML страници кои биле вклучени во нивните апликации за Android уреди.
Друг можен метод за инфекција е ако програмерите користат генератори за веб-базирани апликации кои додаваат iframes во HTML кодот на нивните апликации.
Друга теорија е дека програмерите биле заразени со малициозниот софтвер Ramnit, кој е познат по додавање на скриени iframes во сите HTML датотеки кои ги наоѓа на заразениот компјутер.
Сите програмери на Андроид апликациите се од Индонезија
Истражувачите исто така откриле дека седум програмери на 132 заразени апликации живеат во Индонезија, што значи дека најверојатно користеле малициозен торент за преземање на заразено IDE или биле жртви на локална кампања за дистрибуција на малициозен софтвер.
Покрај тоа, бесмислено е програмерите на Андроид апликации да вметнуваат Windows малициозен софтвер на паметни телефони или да користат домени кои четири години не постојат. Без разлика колку некомпетентни можат да бидат програмерите на малициозен софтвер, тие најчесто не прават вакви видови на грешки.
Инфицираните апликации беа едноставни по природа, најпопуларната имаше околу 10.000 активни инсталации, што значи дека не е направена штета од големи размери. Google привремено ги отстрани апликациите од Play Store.
Ова не е прв пат малициозна софтверска апликација за развој на софтвер да биде искористена во дистрибуција на малициозен софтвер. Во септември 2015 година, Пало Алто открија верзии на Apple Xcode- код едиторот кој го вметнуваше XCodeGhost малициозниот софтвер во iOS апликации генерирани преку овој код едитор, кои подоцна беа поставени на App Store на Apple.
Извор: bleepingcomputer.com