Google удалила из своего интернет-магазина 132 приложения после того, как исследователи из Palo Alto Networks обнаружили, что эти продукты содержат скрытый iFrame.

Как пишут аналитики, в статические HTML-страницы, отображаемые Android-приложениями, были внедрены крохотные iFrame, привязанные к вредоносным доменам. По приблизительным оценкам, скомпрометированные программы были совокупно скачаны 250 тыс. раз, причем на долю самой популярной из них пришлось более 10 тыс. загрузок.

В Palo Alto полагают, что для создания этих приложений могли использоваться платформы разработчика, являющиеся переносчиками вредоносного кода. Эксперты даже усмотрели некое сходство этого инцидента с всплеском заражений XcodeGhost в 2015 году, вызванным злонамеренной модификацией IDE-инструментария Apple. «Разработчиков этих инфицированных приложений винить не стоит, они сами жертвы», — заявил глава исследовательского подразделения Unit 42 Райан Олсон (Ryan Olson).

Представитель Palo Alto также отметил, что для пользователей Android в данном случае никакого риска нет. Дело в том, что последние три года вредоносные домены, с которыми связаны эти приложения, контролирует польская CERT. Кроме того, по свидетельству Олсона, заложенная злоумышленниками функциональность ориентирована не на Android-экосистему, а на ПК Windows.

Исследователи из Unit 42 уверены, что их новая находка на Google Play — «побочный эффект» компрометации компьютеров разработчиков, скорее всего малазийских, и винить в этом следует ботнет Virut или червя Ramnit. Оказавшись на ПК, зловред, по словам Олсона, атакует не исполняемые файлы, а APK и внедряет в них код, создающий скрытые iFrame в HTML-файлах.

Google Play infected apps

Зараженные приложения на Google Play (источник: Palo Alto).

Все проникшие на Google Play зараженные приложения предназначены для загрузки узкоспециальных страниц для работы офлайн или просмотра кэшированных версий. При открытии страницы в таком приложении к ней добавляется скрытый компонент iFrame размером 1х1 пиксель, связанный с вредоносным доменом. В результате пользователю будет показана непрошеная реклама или произойдет попытка компрометации браузера.

Поскольку заражение, как и в случае с XcodeGhost, происходит в контексте платформы разработчика, обнаружить его гораздо сложнее. «Разработчики, возможно, хорошо известны и имеют прочную репутацию, — комментирует Олсон. — По этой причине публикуемые ими приложения, скорее всего, не будут помечаться красным флагом, как это бывает с продуктами новичков».

«Платформы далеко не первый раз становятся «носителями вируса»: сами они не заражаются, но неумышленно распространяют вредоносное ПО на другие платформы», — сказано в отчете Palo Alto. Исследователи полагают, что более узконаправленные атаки с применением этой техники вполне могут оказаться успешными. «Автор атаки может с легкостью заменить ныне используемые вредоносные домены рекламными URL и получать доход… Во-вторых, агрессивный злоумышленник может разместить вредоносные скрипты на удаленном сервере и использовать JavaScript-интерфейс для доступа к стандартной функциональности зараженного приложения», — говорится в отчете.

Данный вектор, согласно Palo Alto, позволяет злоумышленникам получить доступ ко всем ресурсам приложения и захватить контроль над ними. «Они смогут также, действуя незаметно, заменить выделенный разработчику сервер своим, и в итоге любая информация, отосланная на сервер разработчика, попадет в руки инициаторов атаки», — пишут исследователи. По свидетельству авторов отчета, подобная атака также позволяет модифицировать внутреннюю логику приложения, добавить утилиту для получения прав root, дополнительные разрешения или вредоносные APK-файлы, расширяющие возможности автора атаки.

Категории: Аналитика, Вредоносные программы