- Регистрация
- 9 Май 2015
- Сообщения
- 1,071
- Баллы
- 155
- Возраст
- 51
Произошло нечто странное: исследователи из Palo Alto Networks в Google Play 132 приложения, которые пытались заразить устройства пользователей вредоносным кодом для Windows. Но это далеко не единственная загадка в этой истории.
Предполагаемый принцип атаки
Вероятно, злоумышленники хотели провести атаку следующим образом: использовать в своем приложении WebView (отображение содержимого веб-страницы внутри приложения без необходимости переходить в браузер) для того, чтобы отображать на устройстве пользователя HTML-код с элементом <iframe>. Этот элемент в свою очередь загружал содержимое с известных вредоносных доменов, чьи названия были тщательно скрыты в коде и обфусцированы. Загруженное содержимое несло с собой вредоносный код на JavaScript, который благодаря возможностям WebView имел доступ к нативной функциональности приложения, то есть фактически мог сделать все то же, что может сделать с устройством обычное Android-приложение.
Вот так выглядит реализация этого вида атаки в некоторых приложениях:
Но что-то пошло не так…
Семь различных разработчиков опубликовали в Google Play свои приложения, которые, вероятно, должны были использовать вышеописанный способ. Однако, во-первых, в некоторых приложениях реализация вредоносного кода была написана на Visual Basic. Во-вторых, среди доменов, на которые ссылались приложения, были brenz.pl и chura.pl, которые были деактивированы польским правительством из-за использования хакерами еще в 2013 году.
В связи с этими неувязками исследователи сделали вывод, что разработчики этих приложений, скорее всего, не преследовали цель заразить пользователей, а использовали кросс-платформенные инструменты разработчика, которые уже содержали вредоносный код и встраивали его в приложение. Заинтересованные могут почитать более подробный отчет в .
На момент написания этой заметки суммарно приложения установили уже более 10 тысяч пользователей.
— .
Предполагаемый принцип атаки
Вероятно, злоумышленники хотели провести атаку следующим образом: использовать в своем приложении WebView (отображение содержимого веб-страницы внутри приложения без необходимости переходить в браузер) для того, чтобы отображать на устройстве пользователя HTML-код с элементом <iframe>. Этот элемент в свою очередь загружал содержимое с известных вредоносных доменов, чьи названия были тщательно скрыты в коде и обфусцированы. Загруженное содержимое несло с собой вредоносный код на JavaScript, который благодаря возможностям WebView имел доступ к нативной функциональности приложения, то есть фактически мог сделать все то же, что может сделать с устройством обычное Android-приложение.
Вот так выглядит реализация этого вида атаки в некоторых приложениях:
Но что-то пошло не так…
Семь различных разработчиков опубликовали в Google Play свои приложения, которые, вероятно, должны были использовать вышеописанный способ. Однако, во-первых, в некоторых приложениях реализация вредоносного кода была написана на Visual Basic. Во-вторых, среди доменов, на которые ссылались приложения, были brenz.pl и chura.pl, которые были деактивированы польским правительством из-за использования хакерами еще в 2013 году.
В связи с этими неувязками исследователи сделали вывод, что разработчики этих приложений, скорее всего, не преследовали цель заразить пользователей, а использовали кросс-платформенные инструменты разработчика, которые уже содержали вредоносный код и встраивали его в приложение. Заинтересованные могут почитать более подробный отчет в .
На момент написания этой заметки суммарно приложения установили уже более 10 тысяч пользователей.
— .