這是一個(gè)謎，讓研究人員撓頭：132個(gè)Android應用程序在官方的GooglePlay市場(chǎng)試圖感染用戶(hù).Windows惡意軟件。

這些應用程序是由七個(gè)不同的開(kāi)發(fā)人員生成的，它們大多包含了精心隱藏的基于HTML的iframe標簽，這些標簽連接到兩個(gè)非常模糊的惡意域。 在一種情況下，應用程序沒(méi)有使用iframes，而是使用微軟的VisualBasic語(yǔ)言向HTML中注入一個(gè)完整的模糊的Windows可執行文件。 應用程序配備了兩種功能。 一個(gè)是加載間隙廣告，另一個(gè)是加載主應用程序。 主要應用程序加載WebView組件，這些組件被配置為允許加載的Java腳本代碼訪(fǎng)問(wèn)應用程序的本機功能。

考慮到基于Windows的惡意軟件無(wú)法在A(yíng)ndroid設備上執行，這是一項大量的工作。 除此之外，iframes中的兩個(gè)惡意域-brenz.pl和chura.pl-于2013年被波蘭安全當局接管。 所以，到底是怎么回事?

來(lái)自PaloAltoNet works的研究人員相信，開(kāi)發(fā)人員并沒(méi)有故意包括惡意域名和可執行文件，這家安全公司發(fā)現了132個(gè)Android應用程序，并向谷歌報告了它們，以便將它們刪除。 相反，研究人員懷疑開(kāi)發(fā)人員在不知不覺(jué)中使用了同一個(gè)受感染的編程平臺來(lái)編碼應用程序。 這一理論背后的一個(gè)關(guān)鍵原因是：開(kāi)發(fā)人員都在地理上接近印度尼西亞，其中許多人在他們的應用程序名稱(chēng)中包含了“印度尼西亞”一詞。 研究人員在周三發(fā)表的一篇博客中寫(xiě)道：

一種常見(jiàn)的HTML文件感染惡意IFram的方法是通過(guò)文件感染病毒，如Ramnit。 在感染W(wǎng)indows主機后，這些病毒搜索硬盤(pán)中的HTML文件，并將IFram附加到每個(gè)文檔中。 如果開(kāi)發(fā)人員感染了其中一種病毒，他們的應用程序的HTML文件可能會(huì )被感染。 然而，考慮到開(kāi)發(fā)人員可能都是印度尼西亞[原文如此]，他們也可能從同一個(gè)托管網(wǎng)站下載了受感染的[集成開(kāi)發(fā)人員環(huán)境]，或者他們使用了相同的受感染的在線(xiàn)應用程序生成平臺。

在這兩種情況下，我們都認為開(kāi)發(fā)人員不是惡意的，是這次攻擊的受害者。 我們的調查還有其他一些證據：

目前，受感染的應用程序不會(huì )對Android用戶(hù)造成損害。 然而，這確實(shí)代表了一種新的方式，讓平臺成為惡意軟件的“載體”：不是被感染自己，而是在沒(méi)有意識到的情況下將惡意軟件傳播到其他平臺。 類(lèi)似于我們在2015年確定的X code幽靈攻擊，這種威脅顯示了攻擊開(kāi)發(fā)人員如何影響最終用戶(hù)。

休眠域和對基于Windows的惡意軟件的關(guān)注阻止了應用程序對安裝應用程序的10,000多人構成威脅。 但研究人員表示，這些應用程序可能會(huì )更加惡意。 在一種情況下，iframes可以鏈接到使用Java腳本設置訪(fǎng)問(wèn)應用程序本機功能的活動(dòng)域。

研究人員寫(xiě)道：“通過(guò)這個(gè)向量，應用程序中的所有資源都可以提供給攻擊者，并由他們控制。” “他們還可以默默地操作，用自己的服務(wù)器代替開(kāi)發(fā)人員指定的服務(wù)器，因此，發(fā)送給開(kāi)發(fā)人員服務(wù)器的任何信息現在都落入攻擊者手中。 高級攻擊者還可以直接修改應用程序的內部邏輯，即添加生根實(shí)用程序、聲明額外權限或刪除惡意APK文件，以升級其功能。