Как пишут аналитики, в статические HTML-страницы, отображаемые Android-приложениями, были внедрены крохотные iFrame, привязанные к вредоносным доменам. По приблизительным оценкам, скомпрометированные программы были совокупно скачаны 250 тыс. раз, причем на долю самой популярной из них пришлось более 10 тыс. загрузок.
В Palo Alto полагают, что для создания этих приложений могли использоваться платформы разработчика, являющиеся переносчиками вредоносного кода. Эксперты даже усмотрели некое сходство этого инцидента с всплеском заражений XcodeGhost в 2015 году, вызванным злонамеренной модификацией IDE-инструментария Apple. «Разработчиков этих инфицированных приложений винить не стоит, они сами – жертвы», – заявил глава исследовательского подразделения Unit 42 Райан Олсон (Ryan Olson).
Представитель Palo Alto также отметил, что для пользователей Android в данном случае никакого риска нет. Дело в том, что последние три года вредоносные домены, с которыми связаны эти приложения, контролирует польская CERT. Кроме того, по свидетельству Олсона, заложенная злоумышленниками функциональность ориентирована не наAndroid-экосистему, а на ПК Windows.
Исследователи из Unit 42 уверены, что их новая находка на Google Play – «побочный эффект» компрометации компьютеров разработчиков, скорее всего, малазийских, и винить в этом следует ботнет Virut или червя Ramnit. Оказавшись на ПК, зловред, по словам Олсона, атакует не исполняемые файлы, а APK и внедряет в них код, создающий скрытые iFrame в HTML-файлах.
Зараженные приложения на Google Play (источник: Palo Alto).
Все проникшие на Google Play зараженные приложения предназначены для загрузки узкоспециальных страниц для работы оффлайн или просмотра кэшированных версий. При открытии страницы в таком приложении к ней добавляется скрытый компонент iFrame размером 1х1 пиксель, связанный с вредоносным доменом. В результате пользователю будет показана непрошеная реклама или произойдет попытка компрометации браузера.
Поскольку заражение, как и в случае с XcodeGhost, происходит в контексте платформы разработчика, обнаружить его гораздо сложнее. «Разработчики, возможно, хорошо известны и имеют прочную репутацию, – комментирует Олсон. – По этой причине публикуемые ими приложения, скорее всего, не будут помечаться красным флагом, как это бывает с продуктами новичков».
«Платформы далеко не первый раз становятся ‘носителями вируса’: сами они не заражаются, но неумышленно распространяют вредоносное ПО на другие платформы», – сказано в отчете Palo Alto. Исследователи полагают, что более узконаправленные атаки с применением этой техники вполне могут оказаться успешными. «Автор атаки может с легкостью заменить ныне используемые вредоносные домены рекламными URL и получать доход… Во-вторых, агрессивный злоумышленник может разместить вредоносные скрипты на удаленном сервере и использовать JavaScript-интерфейс для доступа к стандартной функциональности зараженного приложения».
Данный вектор, согласно Palo Alto, позволяет злоумышленникам получить доступ ко всем ресурсам приложения и захватить контроль над ними. «Они смогут также, действуя незаметно, заменить выделенный разработчику сервер своим, и в итоге любая информация, отосланная на сервер разработчика, попадет в руки инициаторов атаки», – пишут исследователи. По свидетельству авторов отчета, подобная атака также позволяет модифицировать внутреннюю логику приложения, добавить утилиту для получения прав root, дополнительные разрешения или вредоносные APK-файлы, расширяющие возможности автора атаки.