I ricercatori di Palo Alto Networks hanno scoperto 132 app Android sul Google Play Store che includono un malware Windows. Queste app, alcune delle quali scaricate oltre 10.000 volte, sono state pubblicate da sette sviluppatori che hanno probabilmente utilizzato la stessa piattaforma di programmazione. In pratica, il malware era presente sui loro computer Windows ed è stato trasferito, forse a loro insaputa, nelle app Android. Google ha comunque rimosso tutte le app infette dallo store.
Gli esperti di Palo Alto Networks hanno individuato tag iframe nascosti nel codice HTML delle 132 applicazioni. Tutte le app incriminate sfruttavano il componente Android WebView per visualizzare pagine HTML statiche contenenti testo e immagini. Nei tag iframe era inserito l’indirizzo di due domini polacchi sequestrati nel 2013 dalle autorità locali. Una delle app includeva codice VBScript che, ovviamente, non può causare nessun danno agli utenti Android, essendo un linguaggio specifico per i sistemi operativi Windows.
Considerando tutte queste stranezze e il fatto che gli sviluppatori sembravano residenti in Indonesia o in paesi limitrofi, i ricercatori hanno ipotizzato che il malware sia finito per caso nelle app Android. È possibile che i file HTML siano stati infettati dal virus Ramnit. Dopo aver trovato i file HTML sul computer Windows, il virus aggiunge gli iframe nascosti ad ogni documento. Come detto, il malware non ha nessun effetto sui dispositivi Android, ma la tecnica può essere sfruttata per diffondere il malware su altre piattaforme.
In pratica è possibile utilizzare le app Android come “portatrici” di infezioni. Simili attacchi sono stati già individuati in passato. Tra l’altro, lo scanner di Google non rileva questo genere di malware, quindi le app vengono pubblicate sullo store e rimosse solo se qualcuno invia una segnalazione all’azienda di Mountain View.