Утилита подколодная: как в сторы попадают вредоносные клоны приложений
App Store опубликовал несколько мошеннических приложений, якобы выпущенных Сбербанком. Из-за санкций у российских пользователей выше риск нарваться на вредоносные клоны мобильных сервисов, тем более что официальные сторы и без того не отличались надежной системой модерации. Почему Google и Apple мучают доработками игроделов вместо жуликов, чем чревата установка фальшивых приложений и откуда теперь их скачивать без опасений за безопасность, разбирались «Известия» вместе со специалистами по кибербезопасности и разработчиками.
Как забыли о санкциях
Приложение «Сбербанк Онлайн», ежедневная аудитория которого оценивалась в 32 млн пользователей, удалено из Google Play и App Store из-за санкций. На этом пытаются озолотиться дельцы на сайтах объявлений, выставляя на продажу айфоны с предустановленным мобильным банком за сотни тысяч рублей.
Мошенники предложили более доступный вариант: копии приложения крупнейшего в России банка, но, конечно, фальшивые. Сначала они распространялись на сайтах со взломанными утилитами и играми, а также в Telegram. А на днях клоны сервисов «Сбера» появились в App Store, о чем предупредил сам банк. Помимо почти одноименного аналога «Сбербанка Онлайна», злоумышленники разместили в сторе приложения под названиями Sberbank Mobile banking, Sberbank on-line banking, Sberbank Conference.
— Появление фишинговых приложений Сбербанка в App Store — явление удивительное само по себе. На сбой в системе не похоже, — отмечает в беседе с «Известиями» основатель и СЕО компании eXpress Андрей Врацкий. Он объясняет, что модерация приложений перед их публикацией в магазинах — процесс многоуровневый, который включает в себя ряд проверок разной направленности. Один из первых ее этапов — проверка по санкционным спискам, причем автоматическая.
Как это делали раньше
И до украинских событий мошенники наживались на россиянах через мобильные приложения. В 2019 году в App Store выложили клон приложения «Мой налог», который к официальным налоговым органам не имел никакого отношения. В начале 2022 года в топ-10 каталога Google Play попал фейковый сервис «Газпром Инвестиции». Пользователям обещали, например, «кусочек народного достояния» в обмен на инвестиции в «Северный поток – 2».
Показательно, что Google Play опубликовал 19 подделок приложений собственного сервиса — Google Maps. На это обратил внимание эксперт по кибербезопасности ESET Лукас Стефанко. Копии приложения скачали 50 млн раз.
Разработчики подделок на Google Maps наживались на показе рекламы или ее платном отключении — это один из самых безобидных видов развода. В основном фальшивые копии приложений используются как раз для заработка на рекламе — так проще обойти проверки сторов, говорит руководитель направления развития продуктов Crosstech Solutions Group Антон Чумаков.
Один из видов рекламного мошенничества — использование в приложениях вредоносного ПО, из-за которого без ведома пользователей в фоновом режиме открываются ссылки на объявление. Оно применяется для монетизации онлайн-трафика и увеличения посещения сайтов, рассказывает гендиректор ITCOM Security Максим Вирченко.
— Встречаются и случаи установки различных троянов (в том числе шпионских) и криптомайнеров, которые незаметно для пользователя используют мощности телефона для майнинга криптовалют, — добавляет Антон Чумаков.
В отдельный блок можно выделить программы, необоснованно запрашивающие доступ к информации на устройстве. «Условному приложению «Фонарик» незачем знать вашу геолокацию и иметь доступ к контактам», — объясняет эксперт из Crosstech Solutions Group.
Чего еще бояться
— На обеих мобильных платформах мошенники также могут использовать механизмы встроенных покупок. Когда приложение может успешно пройти проверку (ведь никаких программных закладок и явного воровства данных тут не предполагается) и весь процесс построен на невнимательности пользователя, который, нажимая кнопки, не читает при этом уведомлений, и подключает подписку на абсолютно бесполезный сервис, — приводит пример еще одного вида обмана Максим Вирченко.
Директор департамента инфраструктурных решений и сервиса Oberon Сергей Сидоров подчеркивает, что установка непроверенных приложений ставит под угрозу безопасность данных, в том числе сохраненных на устройстве банковских карт. Некоторые вредоносные приложения одновременно зарабатывают на рекламе и крадут сведения о пользователе.
— Сначала пользователь устанавливает скомпрометированное ПО, несущее определенный функционал, например, показывает рекламу и монетизируется. Так ведет себя большинство бесплатных приложений, и человек не видит рисков, — объясняет Сергей Сидоров. — Далее это ПО обновляется и появляется возможность удаленного управления мобильным устройством и данными пользователя.
Есть и шпионские приложения, обладающие широким набором функций: прослушиванием и записью звонков в прямом эфире, звука вокруг, журналом вызовов IP-телефонии, записью видео с камеры или чтением, удалением и отправкой SMS-сообщений, писем, коротких сообщений в мессенджерах и соцсетях, просмотром и отслеживанием местоположения, сбором паролей, просмотром веб-страниц, адресной книги, календаря и заметок пользователя — такой внушительный список приводит собеседник «Известий».
Кроме того, подобные мобильные приложения обладают функцией скрытой установки.
А не обманывают ли нас
Возникает резонный вопрос: почему Google и Apple размещают эти приложения. Анализ загружаемого разработчиком приложения на соответствие его исходного кода требованиям безопасности 100-процентной гарантии не дает, признает директор департамента инфраструктурных решений и сервиса Oberon.
По его словам, ручные проверки начинаются только после появления жалоб, при этом они достаточно длительные. «Всё это время скомпрометированное приложение по-прежнему работает на устройстве и подвергает рискам пользователя», — отмечает Сергей Сидоров.
Если сравнивать самые большие магазины приложений — Google Play и App Store, то мошенничеств больше в первом, считает начальник отдела информационной безопасности «СёрчИнфом» Алексей Дрозд.
— Во-первых, он более популярен, во-вторых, модерация Google менее драконовская, — поясняет Алексей Дрозд, подчеркивая, что модерация сама по себе не гарантирует безопасности.
В экосистеме на базе OS Android допустимо использование альтернативных магазинов, что тоже способствует распространению вредоносного ПО, обращает внимание гендиректор ITCOM Security Максим Вирченко. У Apple расчет только на один стор, однако и «яблочный» сервис размещает подделки: он проводит детальную проверку приложения уже после его размещения. Эксперт напоминает, что нашумевший клон «Сбербанк Онлайн» размещен именно в App Store.
Пока приложения мошенников беспрепятственно попадают в рейтинг самых популярных, разработчики мобильных игр, например, жалуются на многократные требования доработки своих приложений — например, из-за сомнительных нарушений возрастного ценза.
— Дело в гипотетических рисках, в том числе репутационных. Apple и Google здесь сильно перестраховываются, так как боятся, что в игры попадет контент«18+», если мы рассматриваем крайне негативный сценарий. Волны недовольств и судебных разбирательств — один из худших кошмаров, — рассуждает основатель eXpress Андрей Врацкий. — Поэтому проверяются игры и приложения в категории «6+» куда серьезнее, чем другие утилиты.
Собеседник «Известий» не исключает, что фишинговая копия приложения Сбербанка была переделана в мошенническую уже после прохождения модерации. Не исключен и человеческий фактор ошибок во время проверки, добавляет Андрей Врацкий.
Почему сторы всё же нужны
Вероятность наткнуться на мошенническое приложение больше в популярных магазинах, в них чисто статистически у мошенников выше шансы пробиться через модерацию и найти жертву.
— Менее посещаемые магазины не так интересны злоумышленникам. Например, Samsung Apps пользователи чаще используют для скачивания именно «самсунговских» приложений, а уж собственные программы Samsung содержит в порядке, — говорит начальник отдела ИБ «СёрчИнфом» Алексей Дрозд.
Несмотря на несовершенство магазинов приложений, скачивать их всё же безопаснее там, сходятся во мнении опрошенные эксперты. Чтобы выявить подделку, бывает достаточно почитать отзывы и изучить данные о разработчике, а в случае со сторонними сайтами — инструментов проверки нет.
— Простых способов проверить приложение у обычных пользователей нет. Они не могут заглянуть в исходный код и посмотреть, какой функционал «зашил» в программу разработчик, — объясняет Алексей Дрозд. — Сейчас, когда многие приложения нельзя скачать или обновить из Google Play и AppStore, ситуация стала еще хуже.
В санкционных реалиях некоторые компании вынуждены размещать файлы APK (содержат код и наполнение приложения. — Ред.) вне официальных сторов. «Если вы скачиваете программу на официальном сайте компании — уверен, ей можно доверять. Другое дело — те ситуации, когда файлы располагаются на торрентах или распространяются ссылками на скачивание через мессенджеры», — подчеркивает глава направления развития продуктов Crosstech Solutions Group.
Такие файлы могут использоваться для нелегального сбора данных или попросту содержать более старую (а значит, более уязвимую) версию приложения.
Публикация зараженных приложений на сторонних площадках — достаточно распространенная схема мошенничества. Оттуда их обычно скачивают пользователи, которые ищут бесплатный софт, игры или неофициальные моды для приложений, отмечает эксперт по кибербезопасности в «Лаборатории Касперского» Виктор Чебышев.
— В них технически можно внедрить любой функционал: от на первый взгляд безобидной рекламы до шпионского ПО или банковского троянца, — говорит он.
Что делать без гигантов
Сбербанк в рекомендации для клиентов пояснил, что владельцы смартфонов Android могут установить приложение с официального сайта. Владельцы айфонов, которые не установили приложение «Сбербанк Онлайн» до его удаления из стора, могут пользоваться банковскими услугами только на сайте. Та же логика распространяется на другие компании, которые остались без мобильного сервиса из-за санкций.
— В текущих условиях единственным достаточно надежным источником приложений может являться сайт разработчика, — уверен Виктор Чебышев. Однако и здесь не всё так надежно: во-первых, сайта может попросту не быть, во-вторых, его можно взломать. Для тех, кто все-таки решился загрузить приложение со стороннего ресурса, эксперт дает три совета:
По возможности всё же скачать его у разработчика.
После скачивания вернуть ограничение на загрузку приложений из сторонних источников (убрать галочку в пункте «Доверять сторонним источникам»).
Использовать защитные решения, которые блокируют установку вредоносного ПО.
По мнению Андрея Врацкого, компаниям при размещении APK-файлов на сайте следует размещать следом правовую информацию, точно такую же, какую они прикрепляют в App Store и Goolge Play.
Распространение приложения без этих сервисов — задача решаемая, но есть подводные камни. «Были случаи, когда Google дистанционно удалял установленные вредоносные программы, вероятен и сценарий удаления приложений компаний из санкционного списка со смартфонов», — предполагает Врацкий.
Кроме того, при загрузке APK с сайта обновления пользователям придется устанавливать вручную. В теории эта проблема решаема, но не сейчас, полагает эксперт.
Два самых популярных стора уже ввели ряд ограничений, не исключено, что они полностью уйдут с российского рынка. В среду, 18 мая, Минцифры и VK анонсировали запуск бета-версии магазина приложений RuStore. Двумя днями ранее стал доступен для скачивания отечественный Nash Store.
Как именно в нем будет устроена проверка приложений на вредоносный код, подробно не сообщается, отмечает Максим Вирченко. Однако он полагает, что на фоне повышенного внимания хакеров к России можно предположить, что платформа как минимум уже прошла проверку на устойчивость к DDoS-атакам.
