A empresa de segurança Palo Alto Networks divulgou nesta quarta-feira, 1º, que seus pesquisadores encontraram 132 aplicativos Android infectados por partes de vírus antigo do sistema operacional Windows. Segundo a empresa, os apps foram encontrados gerando iframes ocultos (um documento HTML embutido dentro de uma página web), associados a dois domínios de internet que hospedaram malware.

Alertada, a Google já removeu os aplicativos da Play Store. O lado interessante da história é que os desenvolvedores dos aplicativos possivelmente não são culpados de incluir o código malicioso, informou a Palo Alto Networks em um post em seu blog corporativo. A teoria é de que as plataformas que os desenvolvedores usaram para construir esses aplicativos estariam provavelmente infectadas com malware que procura páginas HTML e, em seguida, injeta a codificação maliciosa.

Muitos dos apps contaminados eram aplicativos de uso doméstico, contendo coisas como receitas de cheesecakes e dicas de jardinagem e paisagismo. O mais popular tinha mais de 10.000 downloads. Os desenvolvedores dos 132 aplicativos vêm de sete lugares diferentes, mas parecem todos ter laços com a Indonésia, disse a empresa de segurança.

Quando instalados, os aplicativos exibiriam páginas web aparentemente benignas que, na realidade, possuíam um minúsculo iframe oculto associado a dois domínios suspeitos que foram envolvidos no passado com hospedagem de malwares do Windows.

Em 2013, uma equipe polonesa de especialistas em segurança assumiu o controle e fechou os domínios, explica a Palo Alto Network. No entanto, o Google ainda sinaliza os sites como perigosos para visitar. Ainda não está claro por que os apps estavam vinculados aos dois domínios maliciosos defuntos. Também foi encontrado um app que não continha o iframe problemático e sim um script do Microsoft Visual Basic para Windows que não teria qualquer efeito em usuários Android.

Alguns malwares, como o Ramnit baseado em janelas, são conhecidos por pesquisar arquivos em um computador e injetá-los com códigos maliciosos, disse a Palo Alto Networks. “Depois de infectar um host Windows, esses vírus pesquisam o disco rígido para arquivos HTML e acrescentam iFrames a cada documento”, disse a empresa. “Se um desenvolvedor foi infectado com um desses vírus, os arquivos HTML de seus aplicativos poderiam ser infectados”, acrescentou Palo Alto Networks.

“Os vírus que infectam arquivos podem rodar por anos, mesmo depois que estes domínios são colocados off-line”, explicou Ryan Olson, diretor de inteligência da Palo Alto Networks, via e-mail. “Eles também tipicamente podem  infectar arquivos executáveis e copiar-se para USB e unidades compartilhadas”, acrescentou. “O malware que escreveu o iframe para esses arquivos provavelmente foi lançado antes que os domínios fossem eliminados.”

Fonte: ComputerWorld

RELATED ARTICLESMORE FROM AUTHOR