這是一個謎，讓研究人員撓頭：132個Android應(yīng)用程序在官方的GooglePlay市場試圖感染用戶.Windows惡意軟件。

這些應(yīng)用程序是由七個不同的開發(fā)人員生成的，它們大多包含了精心隱藏的基于HTML的iframe標(biāo)簽，這些標(biāo)簽連接到兩個非常模糊的惡意域。 在一種情況下，應(yīng)用程序沒有使用iframes，而是使用微軟的VisualBasic語言向HTML中注入一個完整的模糊的Windows可執(zhí)行文件。 應(yīng)用程序配備了兩種功能。 一個是加載間隙廣告，另一個是加載主應(yīng)用程序。 主要應(yīng)用程序加載WebView組件，這些組件被配置為允許加載的Java腳本代碼訪問應(yīng)用程序的本機(jī)功能。

考慮到基于Windows的惡意軟件無法在Android設(shè)備上執(zhí)行，這是一項大量的工作。 除此之外，iframes中的兩個惡意域-brenz.pl和chura.pl-于2013年被波蘭安全當(dāng)局接管。 所以，到底是怎么回事?

來自PaloAltoNet works的研究人員相信，開發(fā)人員并沒有故意包括惡意域名和可執(zhí)行文件，這家安全公司發(fā)現(xiàn)了132個Android應(yīng)用程序，并向谷歌報告了它們，以便將它們刪除。 相反，研究人員懷疑開發(fā)人員在不知不覺中使用了同一個受感染的編程平臺來編碼應(yīng)用程序。 這一理論背后的一個關(guān)鍵原因是：開發(fā)人員都在地理上接近印度尼西亞，其中許多人在他們的應(yīng)用程序名稱中包含了“印度尼西亞”一詞。 研究人員在周三發(fā)表的一篇博客中寫道：

一種常見的HTML文件感染惡意IFram的方法是通過文件感染病毒，如Ramnit。 在感染W(wǎng)indows主機(jī)后，這些病毒搜索硬盤中的HTML文件，并將IFram附加到每個文檔中。 如果開發(fā)人員感染了其中一種病毒，他們的應(yīng)用程序的HTML文件可能會被感染。 然而，考慮到開發(fā)人員可能都是印度尼西亞[原文如此]，他們也可能從同一個托管網(wǎng)站下載了受感染的[集成開發(fā)人員環(huán)境]，或者他們使用了相同的受感染的在線應(yīng)用程序生成平臺。

在這兩種情況下，我們都認(rèn)為開發(fā)人員不是惡意的，是這次攻擊的受害者。 我們的調(diào)查還有其他一些證據(jù)：

目前，受感染的應(yīng)用程序不會對Android用戶造成損害。 然而，這確實代表了一種新的方式，讓平臺成為惡意軟件的“載體”：不是被感染自己，而是在沒有意識到的情況下將惡意軟件傳播到其他平臺。 類似于我們在2015年確定的X code幽靈攻擊，這種威脅顯示了攻擊開發(fā)人員如何影響最終用戶。

休眠域和對基于Windows的惡意軟件的關(guān)注阻止了應(yīng)用程序?qū)Π惭b應(yīng)用程序的10,000多人構(gòu)成威脅。 但研究人員表示，這些應(yīng)用程序可能會更加惡意。 在一種情況下，iframes可以鏈接到使用Java腳本設(shè)置訪問應(yīng)用程序本機(jī)功能的活動域。

研究人員寫道：“通過這個向量，應(yīng)用程序中的所有資源都可以提供給攻擊者，并由他們控制。” “他們還可以默默地操作，用自己的服務(wù)器代替開發(fā)人員指定的服務(wù)器，因此，發(fā)送給開發(fā)人員服務(wù)器的任何信息現(xiàn)在都落入攻擊者手中。 高級攻擊者還可以直接修改應(yīng)用程序的內(nèi)部邏輯，即添加生根實用程序、聲明額外權(quán)限或刪除惡意APK文件，以升級其功能。