Спрятаться за витриной: магазин Google Play стал источником опасных приложений

Официальный магазин приложений для Android стал источником опасных программ — об этом предупредили эксперты. Специалисты выяснили, что в Google Play Store есть 200 вредоносных приложений, которые пользователи скачали почти 8 млн раз. Подробности о том, как подобные программы попадают в Google Play и чем рискуют юзеры, загружая их, читайте в материале «Известий».

Вредоносное ПО из Google Play

О том, что в магазине Google Play Store есть 200 вредоносных приложений, рассказали специалисты американской компании Zscaler. По данным экспертов, зараженные приложения скачивали с июня 2023 по апрель 2024 года.

В Zscaler выделили семь ключевых угроз, которые вредоносное программное обеспечение (ПО) из Google Play несет для пользователей ОС Android. На первом месте (38,2%) оказался инфостилер Joker, при помощи которого злоумышленники получают доступ к SMS пользователей. Следом идет рекламное ПО, которое демонстрирует навязчивые объявления и генерирует прибыль для операторов Adware (35,9%).

Фото: Global Look Press/Omar Marques

Топ-3 замыкает вирус Facestealer (14,7%) для кражи данных аккаунтов Facebook (принадлежит корпорации Meta, которая признана в РФ экстремистской и запрещена). Следом идут инфостилер Coper (3,7%) с функцией кейлогера и возможностью накладывать фейковые окна для фишинга, а также трояны Loanly Installer (2,3%), Harly (1,4%) и Anatsa/Teabot (0,9%).

Любопытно, что отчет Zscaler также включает статистику блокировки вредоносных программ в Google Play, из которой видно, что число заблокированных транзакций в магазине снижается от месяца к месяцу. А в целом за минувший год объемы таких блокировок уменьшились более чем в три раза.

Механизмы внедрения

Как говорит в беседе с «Известиями» эксперт по кибербезопасности в «Лаборатории Касперского» Дмитрий Калинин, несмотря на активную модерацию загружаемых в Google Play приложений, в него иногда проникают вредоносные и нежелательные версии и обновления программ. Причем приложения могут заливаться «чистыми», а вредоносный функционал появляется уже с обновлением.

Подъем по команде: эксперты предупредили о «спящих» угрозах в нейросетях

Киберпреступники могут активировать их специальными сообщениями

— Зачастую троянцы используют техники для обхода «песочниц» (защитных функций, которые изолируют программы друг от друга и от системы. — Ред.), — объясняет эксперт. — Например, они проверяют свое наличие в магазине или начинают работу только после определенного времени, что затрудняет их превентивное обнаружение.

В качестве яркого примера троянца, проникшего в Google Play, Дмитрий Калинин приводит вирус Necro. Недавно специалисты «Лаборатории Касперского» обнаружили вредоносный загрузчик в приложении Wuta Camera и браузере Max Browser. Согласно данным из Google Play, общее количество скачиваний этих приложений превысило 11 млн. В обнаруженные приложения на этой платформе Necro попал в составе непроверенного рекламного модуля.

Фото: ИЗВЕСТИЯ/Анна Селина

Эксперт антивирусной лаборатории PT ESC Positive Technologies Алексей Колесников дополняет, что практически все вредоносные приложения применяют техники обфускации (запутывание или сокрытие исходного кода), что позволяет сбить или обойти системы автоматической проверки приложений в Google Play, позволяя загрузить вредоносный код в магазин. В свою очередь, автор продукта Solar appScrener Даниил Чернов указывает на то, что вредоносные приложения довольно часто попадают в Google Play, поскольку проверка там имеет формальный полуавтоматизированный характер и ее легко обойти тем, кто на этом специализируется.

Скорость отступа: в РФ хотят запретить использование сервиса SpeedTest

Какие риски несет российским пользователям применение американского измерителя скорости интернета

— App Store проверяет свои приложение более тщательно, и сама экосистема iOS закрытая в отличие от открытой экосистемы Android, — рассказывает Даниил Чернов. — Это делает разработку вредоносного ПО для iOS значительно более сложной задачей. И хотя риск получить вредоносное приложение в App Store также существует, он значительно ниже, чем в Google Play.

Риски из магазина

Попадание вредоносных приложений в официальные магазины несет в себе сразу несколько угроз, говорит в беседе с «Известиями» руководитель группы аналитиков по информационной безопасности Лиги цифровой экономики (ЛЦЭ) Виталий Фомин. В частности, пользователи, скачивающие ПО из официальных источников, не ожидают столкнуться с подделкой, что открывает мошенникам больше возможностей для кражи личных данных — логинов, паролей и банковских реквизитов.

— Вредоносное ПО применяется для взлома устройств, в результате чего хакеры получают к ним полный доступ, — рассказывает эксперт. — При этом пользователи доверяют официальным магазинам, поэтому не задумываясь предоставляют приложениям все требуемые разрешения.

Фото: ИЗВЕСТИЯ/Сергей Лантюхов

Как отмечает Виталий Фомин, проникновение опасного ПО вредит и самим магазинам, поскольку влечет за собой риски для репутации и снижение доверия пользователей. Для того чтобы защититься от подобных угроз, эксперт программных продуктов компании «Код безопасности» Максим Александров советует всегда использовать критическое мышление: еще на этапе запроса разрешений задумайтесь о том, зачем софту нужен тот или иной доступ.

Сторный момент: хакеры атаковали более 19 млн пользователей Android из РФ

Почему не стоит скачивать приложения из непроверенных магазинов

— Подозрительные запросы доступа не всегда выступают однозначным признаком вредоносного ПО, поскольку разработчики часто используют готовые решение в виде библиотек, которые автоматически запрашивают доступ ко всему, — поясняет специалист. — Но, если условному приложению «Фонарик» нужен доступ к галерее или интернету, это повод насторожиться, а то и вовсе «снести» установленный софт.

Эксперты компании F.A.C.C.T. дополняют, что также стоит заранее проверить отзывы о приложении, причем в первую очередь — негативные. Причина в том, что злоумышленники для большей убедительности могут накручивать положительные отзывы, которые часто очень похожи друг на друга.

К ответу за вирусы

Если вы обнаружили, что на вашем мобильном устройстве уже установлено фишинговое приложение, эксперт по продуктам экосистемы в области информационной безопасности «Нота Купол» Федор Герасимов советует в первую очередь удалить его. Затем сообщите о факте предполагаемого взлома личного кабинета в банк для блокировки счета, а также измените аутентификационные данные для входа.

Фото: ИЗВЕСТИЯ/Александр Полегенько

— В случае со смартфонами на базе ОС Android также следует проверить устройство на наличие зараженного ПО с помощью антивирусов, чтобы убедиться, что вредоносный код не успел распространиться на другие компоненты системы, — говорит собеседник «Известий».

Руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин дополняет, что в идеале комплексная система защиты на смартфоне должна быть не просто антивирусом, но также уметь анализировать поведение приложений и блокировать их в случае подозрений. Кроме того, специалист советует не ставить обновления на свои приложения сразу после их выхода: дело в том, что магазин может просто не успеть удалить вредоносное приложение, на которое пожаловался другой пользователь.

Фото: Getty Images/Tero Vesalainen

Но можно ли привлечь официальный магазин к ответственности, если ваш гаджет подцепил там вирус? Максим Александров считает такой сценарий маловероятным: во-первых, согласно пользовательскому соглашению, магазины выступают сервисами, связывающими производителей и пользователей, и не могут гарантировать стопроцентную безопасность предлагаемых приложений. А во-вторых, тягаться с крупными компаниями не стоит, поскольку они имеют сильную юридическую службу.

— Случаи, когда платформа выплачивала компенсации за размещение вредоносных приложений в маркете, на сегодняшний день малоизвестны. Пользователям приходится самостоятельно искать безопасные официальные приложения компаний, — заключает Федор Герасимов.