Перейти к содержанию

Обнаружены домены из публичного списка malware

Описание

Во время статического анализа декомпилированных исходников инструмент обнаружил URL-строки, чьи домены совпадают с общедоступными списками зловредных доменов (malware domain lists). Такие списки собирают адреса, с которых зафиксировано распространение вредоносного ПО, фишинг или иное вредоносное поведение.

Потенциальные последствия

  • Коммуникация с инфраструктурой злоумышленников. Приложение может скачивать вредоносный код, отправлять данные на командный центр либо выполнять скрытые команды.
  • Блокировка Google Play Protect и отзыв релиза. Политика Google Play прямо запрещает присутствие вредоносного контента или ссылок на него; такие приложения помечаются как PHA и удаляются из маркета.
  • Репутационные и юридические риски. Пользователи и заказчики расценивают обращение к вредоносным адресам как утечку безопасности, что может привести к штрафам и потерям клиентов.
  • Расширение поверхности атаки. Зловредные домены часто размещают эксплойты, phishing-страницы и payload-ы, что увеличивает вероятность компрометации устройства.

Типовые сценарии обнаружения

  1. Жёстко прописанные URL-ы в .java/.kt файлах, strings.xml, JSON-конфигурациях.
  2. Сторонний SDK или рекламная библиотека содержит адреса, которые совпадают со списком malware.
  3. WebView стартовая страница указывает на домен, классифицированный как вредоносный (например, через заброшенный CDN).

Рекомендации

  1. Провести анализ каждого совпадения.

    • Подтвердите, что URL действительно зловредный, а не ложноположительный.
    • Определите, какая библиотека или участок кода содержит срабатывание.

  2. Удалить или заменить вредоносные домены.

    • Исключите мёртвый код и тестовые заглушки.
    • Для легитимных функций используйте проверенные CDN или собственные API-шлюзы.

  3. Проверить сторонние зависимости.

    • Обновите SDK, рекламные и аналитические библиотеки до последних версий.
    • Удалите пакеты, источник которых сомнителен или не поддерживается.

  4. Внедрить allow-list сетевых запросов:

    • Создайте networkSecurityConfig c <domain-config cleartextTrafficPermitted="false"> и перечислите только доверенные хосты.
    • Включите TLS-пиннинг (например, через Network Security Config или OkHttp CertificatePinner).

Дополнительные рекомендации

  • Используйте Content-Security Policy и строгие заголовки X-Android-Safety-Net при работе с WebView.

Ссылки

  1. Malware Domain List: что это и как формировать
  2. Google Play — Политика «Malware»
  3. OWASP MASTG — SafeBrowsing API использование в Android
  4. Google Safe Browsing API v4 — Обзор
  5. Awesome Threat Intelligence — источники списков зловредных доменов
К началу