Les chercheurs ont découvert que 132 applications disponibles dans Google Play tentaient d’infecter les appareils Android avec des logiciels malveillants pour… Windows. Les applications infectées comprenaient des applications d’idées de conception pour des choses comme les gâteaux, le jardinage et les tables de petit déjeuner, et ont été créées par sept développeurs différents.
Le point commun entre eux était la façon dont ils ont été développés : ils affichaient tous de la publicité interstitielle (celle qui apparaît entre les chargements de pages), et ouvraient l’application principale par le composant WebView d’Android, responsable de l’affichage et de la gestion des pages HTML, avec la permission d’exécuter du code JavaScript. Une autre similitude est que la plupart des applications infectées contenaient le mot “Indonésie” dans leur titre.
Toutes les applications infectées contenaient une balise iframe cachée dans le HTML, qui se connectait à deux domaines connus pour distribuer des fichiers malveillants. Dans un cas, l’application a également essayé d’utiliser un script Visual Basic pour injecter un exécutable Windows entier dans le HTML.
Par conséquent, les applications analysées ne présentaient aucun risque pour les plus de 10 000 utilisateurs qui ont téléchargé les programmes, car il n’est pas possible d’exécuter le code Windows sur le système d’exploitation mobile de Google. En outre, les domaines malveillants ont déjà été désactivés depuis 2013.
En raison de cette “curieuse” tentative d’infecter un smartphone Android avec un logiciel malveillant pour Windows, les chercheurs de Palo Alto Networks, responsables de la découverte, sont arrivés à la conclusion qu’il est probable que les développeurs n’ont pas introduit intentionnellement le code malveillant.
On soupçonne que les développeurs ont pu utiliser un environnement ou un site de développement en ligne infecté, qui a pu injecter du code malveillant dans les applications au moment de leur création.
Cependant, les chercheurs soulignent qu’il est toujours possible que les applications infectées de cette manière soient plus dangereuses qu’il n’y paraît. Dans l’un des scénarios présentés, les iframes pourraient être utilisés pour se connecter à des domaines actifs et exécuter du code via Javascript, ce qui permettrait d’accéder aux informations de l’utilisateur et même de contrôler entièrement le dispositif.
Selon le post publié par les chercheurs, Google a été informé du problème et a retiré les applications infectées du Play Store.
