Bardzo ciekawy przypadek odkryła firma badająca bezpieczeństwo w sieci, Palo Alto Networks. Znaleźli oni 132 aplikacje w Google Play, w których stwierdzono obecność złośliwego oprogramowania przeznaczonego dla komputerów z systemem Windows. Wszystkie pochodzą łącznie od siedmiu różnych deweloperów, a niektóre z aplikacji zostały pobrane już nawet 10 tysięcy razy. Wszystkie łączą ukryte i podejrzane tagi iframe w ich kodzie HTML.
Linie iframe służą do osadzania zewnętrznych elementów w kodzie jak np. odtwarzacze wideo z innych serwisów. Kod w tych aplikacja zawierał odniesienia do dwóch dobrze znanych szkodliwych domen zarejestrowanych w Polsce. Co najciekawsze obie domeny zostały zajęte przez władze naszego kraju w 2013 roku. Z przebiegu badania wynika, że deweloperzy stali się ofiarą włamania do ich kodu źródłowego, co spowodowało wprowadzenie szkodliwego oprogramowania do ich aplikacji.
Wszyscy deweloperzy działają na podobnym terenie, a cześć ich aplikacji nawet zawiera nazwę kraju dla którego były one dedykowane, a chodzi konkretniej o Indonezję. Naukowcy postawili również swoją tezę jak mogło dojść do takiej sytuacji i wydaje się ona bardzo prawdopodobna. Dyski twarde deweloperów mogły zostać zainfekowane złośliwym oprogramowaniem, które przedostało się również do plików HTML. Następnie został one przesłane do Google Play.
Mimo tego, że wskazane domeny zostały już dawno wyłączone z użytku, a złośliwe oprogramowanie było “dedykowane” dla systemu Windows, to jednak pokazuje jak w łatwy sposób można zaimplementować wirus do aplikacji na Androida. Taki sposób z wstawkami iframe jest dobrze znany już od wielu lat, ale mimo to system weryfikacji Google nie był w stanie go wykryć. Obrazuje to w jasny sposób, że osoby trzecie z wielką łatwością mogą dodać złośliwe oprogramowanie do aplikacji udostępnionych w Google Play. System ostrzegania o potencjalnie niebezpiecznych programach w tym przypadku nie działa w ogóle i stwarza zagrożenie dla posiadaczy smartfonow z Androidem.
Źródło: Palo Alto Networks, Ars Technica
