Více než stovka aplikací v Google Play Store byla nakažena malwarem pro Windows
2.3.2017, Jáchym Šlik, aktualita
Ke kurióznímu bezpečnostnímu problému došlo v obchodu Google Play pro Android. Více než sto titulů bylo nakaženo škodlivým kódem, který byl ovšem už několik let nefunkční a navíc byl určen pro počítače s Windows. Jaké vysvětlení výzkumníci nabízejí?
Android není obecně považován za zrovna nejbezpečnější mobilní operační systém. Důvodem jsou známé i méně známé problémy v zabezpečení, útočníky potom může lákat také celková otevřenost platformy a její masové rozšíření. Čas od času se tak můžeme dočíst o škodlivém softwaru, který v lepším případě obtěžuje uživatele reklamami, v horším může ukrást citlivá data či peníze. Nedávný problém, na který přišli výzkumníci ze společnosti Palo Alto Networks, sám o sobě nepředstavuje žádné vážnější riziko, naopak je spíše úsměvný. Na druhou stranu ovšem vzbuzuje celou řadu otázek a opět dokazuje, že ani aplikace stažené z Google Play Store nemusejí být zdaleka bezpečné.
Nalezeno bylo 132 aplikací od sedmi vývojářů, které v kódu HTML obsahovaly tag iframe (běžně používaný například ke vkládání videí z YouTube) napojený na dvě škodlivé domény. Jedna z aplikací potom místo iframe využívala dokonce programovací jazyk Microsoft Visual Basic. Účelem bylo zobrazení reklamy a načtení hlavní aplikace, která potom využila komponenty WebView nakonfigurované k načtení kódu JavaScript pro přístup k nativním funkcím aplikace. Jenže to má jeden podstatný háček, malware je totiž určen pro zařízení s Windows a na smartphonech ani tabletech vybavených Androidem nefunguje.
A potom je tu ještě jedna zvláštnost, na kterou přišli výzkumníci. Malware totiž využívá polské domény, které byly zablokovány příslušnými orgány už v roce 2013. Proč by si tedy vývojáři přidělávali práci s implementací škodlivého kódu, který vlastně vůbec nefunguje? Podle teorie neměli vývojáři vůbec v úmyslu publikovat nakažené aplikace, jejich počítače byly pravděpodobně napadeny a všechny uložené HTML soubory infikovány. Dotklo se to bohužel i balíčků aplikací pro Android. Naznačoval by to i fakt, že všichni dotčení vývojáři jsou z Indonésie či okolních zemí a mnoho jejich aplikací má slovo „Indonésie“ přímo v názvu.
Malware tedy v tomto případě nezpůsobil žádné vážné škody, navíc se týkal jen aplikací určených pro konkrétní region, kdy navíc většina z nich ani nepřesáhla 10 tisíc stažení. Na druhou stranu může překvapit, že se infikované aplikace vůbec dostaly přes bezpečnostní opatření v Google Play Store.
Zdroj: Anandtech.com
Nalezeno bylo 132 aplikací od sedmi vývojářů, které v kódu HTML obsahovaly tag iframe (běžně používaný například ke vkládání videí z YouTube) napojený na dvě škodlivé domény. Jedna z aplikací potom místo iframe využívala dokonce programovací jazyk Microsoft Visual Basic. Účelem bylo zobrazení reklamy a načtení hlavní aplikace, která potom využila komponenty WebView nakonfigurované k načtení kódu JavaScript pro přístup k nativním funkcím aplikace. Jenže to má jeden podstatný háček, malware je totiž určen pro zařízení s Windows a na smartphonech ani tabletech vybavených Androidem nefunguje.
A potom je tu ještě jedna zvláštnost, na kterou přišli výzkumníci. Malware totiž využívá polské domény, které byly zablokovány příslušnými orgány už v roce 2013. Proč by si tedy vývojáři přidělávali práci s implementací škodlivého kódu, který vlastně vůbec nefunguje? Podle teorie neměli vývojáři vůbec v úmyslu publikovat nakažené aplikace, jejich počítače byly pravděpodobně napadeny a všechny uložené HTML soubory infikovány. Dotklo se to bohužel i balíčků aplikací pro Android. Naznačoval by to i fakt, že všichni dotčení vývojáři jsou z Indonésie či okolních zemí a mnoho jejich aplikací má slovo „Indonésie“ přímo v názvu.
Malware tedy v tomto případě nezpůsobil žádné vážné škody, navíc se týkal jen aplikací určených pro konkrétní region, kdy navíc většina z nich ani nepřesáhla 10 tisíc stažení. Na druhou stranu může překvapit, že se infikované aplikace vůbec dostaly přes bezpečnostní opatření v Google Play Store.
Zdroj: Anandtech.com