Перейти к содержанию
Viktor

Malicious Code in iOS App, Most Likely Injected during Windows OS Infection

Recommended Posts

Viktor
Today, an iOS user noticed that the $2 game Simply Find It developed by Simply Game is detected as potentially malicious by Bitdefender Virus Scanner.

More specifically, the infected object – a MP3 file that ships along with the game, was detected as Trojan.JS.iframe.BKD, a specialized detection that deals with iFrames loading malicious content from compromised websites.

A closer look on the MP3 file reveals that it contains an iFrame loading content from a website based in China (x.asom.cn), a known source for malware flagged accordingly by both browsers and antivirus solutions. We dug deeper into the issue, because infected MP3 files are rarely found in the wild and are highly particular to specific exploitation mechanisms.

We discovered that this particular iFrame has been injected by a number of families of malware designed for Windows, families which attempt to infect HTM or HTML files and load malicious code within these files. Sometimes, because of improper file type validations, these families of malware accidentally infect MP3 files. While the code itself is malicious placed in the right context (i.e. in a HTML document), it has no side effect when injected into the wrong file.

There is no known mechanism to date to exploit this behavior on users’ machines, and the file definitely does not pose any threat to the iOS uses. Most likely, the file came from an infected computer, where it has been inadvertently infected, and then was included in the final product – the game itself.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.9.
    • Ego Dekker
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
×