这是一个谜,让研究人员挠头:132个Android应用程序在官方的GooglePlay市场试图感染用户.Windows恶意软件。
这些应用程序是由七个不同的开发人员生成的,它们大多包含了精心隐藏的基于HTML的iframe标签,这些标签连接到两个非常模糊的恶意域。 在一种情况下,应用程序没有使用iframes,而是使用微软的VisualBasic语言向HTML中注入一个完整的模糊的Windows可执行文件。 应用程序配备了两种功能。 一个是加载间隙广告,另一个是加载主应用程序。 主要应用程序加载WebView组件,这些组件被配置为允许加载的Java脚本代码访问应用程序的本机功能。
考虑到基于Windows的恶意软件无法在Android设备上执行,这是一项大量的工作。 除此之外,iframes中的两个恶意域-brenz.pl和chura.pl-于2013年被波兰安全当局接管。 所以,到底是怎么回事?
来自PaloAltoNet works的研究人员相信,开发人员并没有故意包括恶意域名和可执行文件,这家安全公司发现了132个Android应用程序,并向谷歌报告了它们,以便将它们删除。 相反,研究人员怀疑开发人员在不知不觉中使用了同一个受感染的编程平台来编码应用程序。 这一理论背后的一个关键原因是:开发人员都在地理上接近印度尼西亚,其中许多人在他们的应用程序名称中包含了“印度尼西亚”一词。 研究人员在周三发表的一篇博客中写道:
一种常见的HTML文件感染恶意IFram的方法是通过文件感染病毒,如Ramnit。 在感染Windows主机后,这些病毒搜索硬盘中的HTML文件,并将IFram附加到每个文档中。 如果开发人员感染了其中一种病毒,他们的应用程序的HTML文件可能会被感染。 然而,考虑到开发人员可能都是印度尼西亚[原文如此],他们也可能从同一个托管网站下载了受感染的[集成开发人员环境],或者他们使用了相同的受感染的在线应用程序生成平台。
在这两种情况下,我们都认为开发人员不是恶意的,是这次攻击的受害者。 我们的调查还有其他一些证据:
目前,受感染的应用程序不会对Android用户造成损害。 然而,这确实代表了一种新的方式,让平台成为恶意软件的“载体”:不是被感染自己,而是在没有意识到的情况下将恶意软件传播到其他平台。 类似于我们在2015年确定的X code幽灵攻击,这种威胁显示了攻击开发人员如何影响最终用户。
休眠域和对基于Windows的恶意软件的关注阻止了应用程序对安装应用程序的10,000多人构成威胁。 但研究人员表示,这些应用程序可能会更加恶意。 在一种情况下,iframes可以链接到使用Java脚本设置访问应用程序本机功能的活动域。
研究人员写道:“通过这个向量,应用程序中的所有资源都可以提供给攻击者,并由他们控制。” “他们还可以默默地操作,用自己的服务器代替开发人员指定的服务器,因此,发送给开发人员服务器的任何信息现在都落入攻击者手中。 高级攻击者还可以直接修改应用程序的内部逻辑,即添加生根实用程序、声明额外权限或删除恶意APK文件,以升级其功能。