Эксперты Palo Alto Networks нашли в Google Play 132 Android-приложения, которые содержали вредоносный код для Windows.
Специалисты выяснили, что в приложениях содержался компонент Android WebView для отображения HTML-кода со скрытым элементом <iframe>. В свою очередь, последний ссылался на два вредоносных веб-ресурса brenz.pl и chura.pl. Ранее эти сайты применялись для хостинга вредоносных программ для Windows. Польская команда CERT отключила данные веб-ресурсы еще в 2013 году.
В компоненте Android WebView был активирован интерфейс JavaScriptInterface, который не применялся в изученных программах, однако давал возможность загруженному коду JavaScript получать доступ к нативному функционалу приложения. В результате код JavaScript мог выполнять на устройстве действия, аналогичные тем, что осуществляет обычное приложение для Android.
Одно из приложений, изученных экспертами, содержало вредоносный скрипт, созданный с помощью Microsoft Visual Basic. Это вызвало недоумение у исследователей, поскольку данный скрипт бесполезен на Android-устройствах.
В итоге специалисты пришли к выводу, что разработчики приложений, вероятнее всего, не стремились инфицировать пользовательские устройства, а в ходе создания программ применяли доступные утилиты, уже содержащие вредоносный код.
Зараженные программы уже удалены из Google Play.
