นักวิจัยด้านความมั่นคงปลอดภัยจาก Palo Alto Networks ออกมาแจ้งเตือนถึงการค้นพบร่องรอยของมัลแวร์ Windows ที่แฝงตัวอยู่ในแอพพลิเคชันบน Android รวมแล้ว 132 แอพ ซึ่งเปิดให้ผู้ใช้ดาวน์โหลดผ่าน Google Play Store เชื่อว่าไม่ได้มาจากฝีมือผู้พัฒนา แต่มาจากการที่ผู้พัฒนาเหล่านั้นถูกแฮ็ค
จากการตรวจสอบพบว่าแอพพลิเคชันเหล่านี้มี Iframe ขนาดเล็กซ่อนอยู่ในซอร์สโค้ด HTML พร้อมเตรียมเชื่อมต่อกับ C&C Server ของแฮ็คเกอร์เพื่อดาวน์โหลด Payload มาติดตั้ง อย่างไรก็ตาม ขณะที่นักวิจัยค้นพบร่องรอยมัลแวร์ของแอพพลิเคชันเหล่านั้น C&C Server ทั้งหมดหยุดให้บริการไปแล้ว แต่จากการตรวจสอบพบว่า Server เหล่านั้นมีประวัติเกี่ยวกับการดำเนินการอันไม่พึงประสงค์ เช่น มีส่วนร่วมในแคมเปญการแพร่กระจายมัลแวร์บน Windows
นอกจากการซ่อน Iframe ไว้ในซอร์สโค้ด แอพพลิเคชันบางแอพยังซ่อน VBScript ไว้ด้วยเช่นกัน โดยโค้ด VBScript ดังกล่าวจะพยายามติดตั้งไฟล์ EXE ที่ Encode แบบ Base64 ลงบนอุปกรณ์ Android ของผู้ใช้ ซึ่งแน่นอนว่าไฟล์ EXE นั้นไม่สามารถทำอันตรายอุปกรณ์ได้ เนื่องจากไม่ใช่ระบบปฏิบัติการ Windows ที่สำคัญคือ C&C Server ที่ติดต่อก็หยุดให้บริการไปแล้วเช่นกัน นักวิจัยจาก Palo Alto Networks ระบุว่า ในกรณีที่ไฟล์ดังกล่าวสามารถทำงานได้ มันจะดำเนินการแก้ไขไฟล์ที่ใช้ตั้งค่าระบบเครือข่าย เปลี่ยนการตั้งค่าไฟร์วอลล์ แทรกโค้ดแปลกปลอมเข้าไปในโปรเซส และแพร่กระจายตัวเองไปยังอุปกรณ์อื่นๆ
เป็นที่น่าแปลกใจมาว่า ทำไม C&C Server ทั้งหมดถึงหยุดให้บริการ รวมไปถึงพยายามติดตั้งมัลแวร์ Windows ลงบนอุปกรณ์ Android นักวิจัยจาก Palo Alto Networks ตอบข้อสงสัยนี้ว่า จริงๆ แล้วผู้พัฒนาแอพพลิเคชันไม่ได้เป็นคนใส่มัลแวร์ลงไปในแอพพลิเคชันของตน แต่พวกเขาเหล่านั้นก็ตกเป็นเหยื่อของแฮ็คเกอร์ตัวจริงด้วยเช่นกัน นักวิจัยเชื่อว่า ผู้พัฒนาน่าจะใช้งาน IDE ที่มีมัลแวร์แฝงตัวอยู่ ส่งผลให้มัลแวร์แอบเพิ่ม Iframe เข้าไปใน HTML ทุกหน้าที่สร้างขึ้น ซึ่งบางส่วนก็ถูกฝังลงไปในแอพพลิเคชัน Android หรือบางที Iframe อาจมาจากการใช้ Web-based App Generator หรือมัลแวร์ Ramnit ก็เป็นได้ ต้องตรวจสอบรายละเอียดต่อไป
นอกจากนี้ ผู้พัฒนาแอพพลิเคชันทั้ง 132 แอพนี้ รวม 7 คน เป็นผู้พัฒนาจากอินโดนีเซียทั้งหมด จึงเป็นไปได้สูงว่าพวกเขาจะติดมัลแวร์ผ่านทางไฟล์ Torrent หรือตกเป็นเหยื่อของแคมเปญการแพร่กระจายมัลแวร์ภายในประเทศของตน