Вредоносная программа, поражающая ОС Windows обнаружена в дистрибутивном пакете, распространяемом через магазин приложений для iPhone и iPad. Хотя обнаруженный вредоносный код не выполняется в среде iOS и OS X, он представляет скрытую угрозу для операционных систем семейства Windows.

24 июля 2012 года на форумах поползли слухи о заражении программы Instaquotes-Quotes Cards for Instagram. Проверка показала, что в ней действительно обнаружен сетевой червь, названный Win32/VB.CB по классификации Microsoft. Symantec именует его W32.Imaut.AS, а McAfee нарекла W32/Autorun.worm.h. Несмотря на то, что червь был написан четыре года назад, он не утратил своей актуальности. Среди его свойств указываются способность соединяться с удалёнными серверами для загрузки другого вредоносного кода и попытки распространяться через мессенджер Yahoo.

Вероятно, тактика рассчитана на нетривиальный способ заражения. Компьютеры с установленной ОС Windows используются некоторыми пользователями при скачивании приложений для своих мобильных устройств производства Apple.

Логика в таком сценарии есть: загружаемые на iOS App Store приложения не проходят полную кроссплатформенную проверку на отсутствие вредоносного кода. К тому же, в антивирусах для Windows практически всегда задействована оптимизация, исключающая неисполняемые файлы (к которым относится и *.ipa) из области проверки.

Ускользая от внимания антивирусов, вредоносный код может неопределённо долго храниться в теле загруженных с App Store файлов. Для его активации достаточно будет запустить процесс извлечения “боевой нагрузки”. Он может быть запущен при помощи эксплоита, скрипта на веб-сайте или в виде команд отдельного приложения. В любом случае, такое действие мало подозрительно с точки зрения эвристических систем и потому имеет высокие шансы остаться незамеченным.

Возможно, заражение на iOS App Store было не единичным и скоро мы узнаем об аналогичных случаях.