132 Android-приложения в Google Play содержали вредоносное ПО для Windows

Специалисты компании Palo Alto Networks обнаружили в online-каталоге Google Play Store более 130 Android-приложений от семи разных разработчиков, содержащих вредоносный код для Windows.

Как выяснили исследователи, приложения содержали компонент Android WebView для отображения HTML-кода со скрытым элементом <iframe>, который, в свою очередь, ссылался на два вредоносных домена brenz.pl и chura.pl. Оба домена ранее использовались для хостинга вредоносного ПО для Windows и были деактивированы польской командой CERT еще в 2013 году.

В компоненте WebView был активирован интерфейс JavaScriptInterface, который хоть и не использовался в изученных приложениях, позволял загруженному коду JavaScript получить доступ к нативной функциональности приложения, то есть выполнять на устройстве те же действия, что и обычное Android-приложение.

В одном из проблемных приложений был обнаружен вредоносный скрипт, написанный на Microsoft Visual Basic, что вызывает некоторое недоумение, учитывая его бесполезность на Android-устройствах.

В связи с этими неувязками исследователи пришли к выводу, что разработчики приложений, скорее всего, не преследовали цель заразить устройства пользователей, а использовали при создании программ доступные инструменты, уже содержащие вредоносный код.

Инфицированные приложения уже удалены из Google Play Store.