Windows-зловреды в Google Play!

Программы для Android были заражены кейлоггерами и другими скриптами, предназначенными для Windows. По мнению исследователей, сторонний код не представляет опасности для конечных пользователей мобильных приложений, но свидетельствует о небезопасной среде разработки.

Наличие вредоносного кода для Windows в программах для Android означает, что компьютеры их создателей были скомпрометированы. Найденные PE-файлы не представляют опасности для пользователей мобильных устройств, однако создают угрозу атаки на цепочку поставок. Специалисты отмечают, что среди программ одного разработчика встречаются как скомпрометированные, так и чистые образцы. Как выяснили ИБ-специалисты из Palo Alto Networks, в установочных комплектах (APK) почти полутора сотен приложений нашлись вредоносные PE-файлы. Каждая из программ содержала как минимум две инъекции стороннего кода.



Дополнительный функционал зловреда включал в себя:
создание скрытых исполняемых файлов в системных папках,
модификацию реестра Windows,
подозрительную сетевую активность через порт 8829,
способность бездействовать продолжительное время.

Все инфицированные приложения появились в Google Play в период с октября по ноябрь 2017 года. Некоторые из взломанных программ набрали более тысячи установок и получили высокий пользовательский рейтинг. Магазин ведет постоянную борьбу за чистоту приложений — за прошлый год из репозитория удалили более 700 тыс. APK, не соответствовавших нормам сервиса. Тем не менее, ИБ-специалисты регулярно обнаруживают в хранилище файлы со внедренными зловредами.

Так, в июле эксперты сообщили о как минимум 10 легитимных приложениях, загружавших на мобильные устройства банкеры. За месяц до этого стало известно о программе для управления зарядом батареи, которая похищала пользовательские данные и показывала несанкционированную рекламу.