Unit 42, das Anti-Malware-Team von Palo Alto Networks, hat 132 Android-Apps auf Google Play entdeckt, die mit kleinen versteckten IFrames infiziert sind. Diese stellen eine Verbindung mit bösartigen Domains über ihre lokalen HTML-Seiten her. Vieles deutet darauf hin, dass die Entwickler dieser infizierten Apps nicht die Akteure, sondern eher Opfer von cyberkriminellen Aktivitäten sind. Höchstwahrscheinlich sind die Entwicklungsplattformen der App-Entwickler zuvor bereits mit Malware infiziert worden. Diese Malware sucht nach HTML-Seiten und injiziert schädliche Inhalte, ohne dass die Entwickler davon etwas mitbekommen.

Die infizierten Apps, die die Forscher beobachteten, enthielten Apps für Dekorationsideen. Was alle Apps gemeinsam hatten, war die Verwendung von Android WebView, um statische HTML-Seiten anzuzeigen. Auf den ersten Blick macht jede Seite nicht mehr als lokal gespeicherte Bilder zu laden und hartcodierten Text anzuzeigen. Allerdings zeigte eine tiefgehende Analyse des HTML-Codes ein kleines verstecktes IFrame, das zu bekannten bösartigen Domains verlinkt. Obwohl die verknüpften Domains zum Zeitpunkt der Untersuchung abgeschaltet waren, ist die Tatsache, dass so viele Apps bei Google Play infiziert sind, bemerkenswert.

Noch bemerkenswerter ist, dass eine der infizierten Seiten auch versucht, eine bösartige ausführbare Windows-Datei herunterzuladen und zu installieren. Da das Android-Gerät aber nicht mit Windows läuft, wird diese nicht ausgeführt. Dieses Verhalten passt gut in die Kategorie der Non-Android-Bedrohungen, die kürzlich von Google Android Security veröffentlicht wurden. Entsprechend der Klassifizierung beziehen sich diese Bedrohungen auf Apps, die dem Benutzer oder Android-Gerät nicht schaden können, aber Komponenten enthalten, die möglicherweise für andere Plattformen schädlich sind.

Alle infizierten Apps sind mit zwei Aktivitäten ausgestattet. Die eine dient dazu, Interstitial-Werbung zu laden, und die andere, um die Haupt-App zu laden. Letztere instanziiert eine Android-WebView-Komponente und zeigt eine lokale HTML-Seite mit Bildern und Text an. Allerdings wurde am Ende jeder HTML-Seite eine kleine versteckte IFrame-Komponente hinzugefügt. Die Forscher von Palo Alto Networks haben zwei Techniken beobachtet, um dieses IFrame zu verbergen. Eine Technik ist, das IFrame winzig zu machen, indem seine Höhe und Breite auf 1 Pixel eingestellt werden. Die andere Technik besteht darin, das Anzeigeattribut in der IFrame-Spezifikation auf „None“ zu setzen. Um die Erkennung durch einfaches String-Matching zu vermeiden, wurden die Quell-URLs zudem mit HTML-Nummerncodes verschleiert.

Die 132 infizierten Apps, die das Forschungsteam von Palo Alto Networks entdeckt hat, gehören zu sieben verschiedenen Entwicklern. Es ist möglich, dass sie eine infizierte IDE (Integrated Development Environment; Integrierte Entwicklungsumgebung) von der gleichen Hosting-Website heruntergeladen haben oder die gleiche infizierte Online-Plattform für die App-Erstellung verwendet haben.

Die infizierten Apps stellen einen neuartigen Weg dar, um Plattformen als „Träger“ für Malware zu nutzen. Dabei soll die Malware unbemerkt auf andere Plattformen verbreitet werden. Ähnlich wie der XcodeGhost-Angriff, den Palo Alto Networks im Jahr 2015 identifiziert hatte, zeigt diese Bedrohung, wie Angriffe auf Entwickler die Endbenutzer beeinträchtigen können. Ein Angreifer könnte die aktuellen bösartigen Domains auf einfache Weise mit Werbe-URLs ersetzen, um Einnahmen zu generieren. Dies schmälert nicht nur die Einnahmen der rechtmäßigen App-Entwickler, sondern kann auch deren Ruf schädigen.

Zweitens könnten aggressive Angreifer bösartige Skripte auf dem Remote-Server platzieren und das JavaScriptInterface nutzen, um auf die native Funktionalität der infizierten Apps zuzugreifen. Durch diesen Vektor wären alle Ressourcen innerhalb der App unter der Kontrolle der Angreifer. Sie könnten auch heimlich arbeiten, um den Server des Entwicklers durch ihren eigenen ersetzen. Informationen, die an den Entwickler-Server gesendet wurden, würde nun in die Hände der Angreifer fallen. Fortgeschrittene Angreifer können auch direkt die interne Logik der App ändern, also ein Rooting-Dienstprogramm hinzufügen, zusätzliche Berechtigungen deklarieren oder bösartige APK-Dateien (Android Package) platzieren.