2023/10/09 12:54:24

Безопасность приложений в Google Play Store

Содержание

2023
- Стала известна версия «Мамонта», где мошенники предлагают оформить покупки с помощью вируса-шпиона
- Криптомошеннические приложения проникли в официальные магазины Google и Apple
2022
2021
2020
2019
2018
2017
Примечания

Основные статьи:

2023

Стала известна версия «Мамонта», где мошенники предлагают оформить покупки с помощью вируса-шпиона

9 октября 2023 года компания F.A.С.С.T сообщила о версии мошеннической схемы «Мамонт», в которой используется фейковый магазин Google Play. Под предлогом оформления доставки товара скамеры просят жертву скачать и установить из фейкового магазина мобильное приложение сервиса объявлений, под которое замаскирован шпионский Android-троян. Вирус помогает злоумышленникам незаметно списать деньги со счета жертвы — средняя сумма хищения составляет 67 000 рублей.

В классической схеме «Мамонт» мошенники похищают деньги и данные банковских карт у жертв под предлогом оформления фейковой покупки и доставки товаров с маркетплейсов, аренды недвижимости, совместных поездок. По данным на конец лета 2023 года, в России по схеме «Мамонт» работали 17 активных преступных групп.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 298.7 т

В сентябре 2023 года специалисты Digital Risk Protection компании F.A.C.C.T. обнаружили мошенническое сообщество «Мамонта», которое использует Android-трояны в своих атаках. В данной схеме — и в этом ее главная опасность — злоумышленники не требуют ввода данных банковской карты на фишинговом сайте, а предлагают установить мобильное приложение сервиса объявлений с доставкой. Спрятанная в нем шпионская программа способна перехватывать вводимые данные банковской карты и входящие смс-коды для кражи денег со счетов клиентов российских банков.

Сама схема работает следующим образом: воркеры (участники сообщества, привлекающие жертв на скачивание вредоносного приложения) создают поддельные объявления о продаже товара в специальный Telegram-бот и на выходе получают ссылку на скачивание мобильного приложения — APK-файла.

Когда найден покупатель, и он готов оплатить товар, мошенники убеждают жертву продолжить разговор в мессенджере, чтобы ресурс с объявлениями не заблокировал сообщение со ссылкой на вредоносную программу, и скачать мобильное приложение, с помощью которого якобы уже можно оформить доставку. Вся легенда воркера строится на том, что он якобы является индивидуальным предпринимателем, и для покупки товара с доставкой, чаще всего это популярная электроника, одежда, обувь, его клиентам необходимо использовать специальную программу.

После перехода по ссылке жертве открывается поддельная страница Google Play, с которой надо скачать и установить мобильное приложение, довольно точно копирующее оформление и функционал реальных онлайн-площадок. Именно тут покупателю нужно оформить доставку. В момент оплаты мобильный троян перехватывает и отправляет участнику преступной группы — вбиверу — введенные данные банковской карты жертвы, а затем входящие sms с кодом подтверждения перевода для кражи денег со счета жертвы.

По данным F.A.C.C.T., от действий мошенников в сентябре 2023 года пострадали клиенты банков как в России, так и Белоруссии. За 10 дней в сентябре с помощью поддельных приложений злоумышленники смогли украсть по обновленной схеме «Мамонт» почти 3 000 000 рублей, сделав 76 списаний.

Старые трюки рано или поздно перестают приносить желаемый доход скамерам, и тогда они придумывают новые сценарии, приманки, меняют механику, — сказал Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F.A.C.C.T. — Мы видели, как мошенники использовали в схеме «Мамонт» сгенерированные Telegram-ботами фишинговые страницы, затем они стали заражать жертв стилерами, похищавшими логины-пароли. На октябрь 2023 года одна из группировок начала использовать мобильные трояны. Часть пользователей может решить, что мобильные приложения, похожие на известные сервисы, будто бы из официального стора, вряд ли скрывают опасность — на это и делают ставку злоумышленники.

Криптомошеннические приложения проникли в официальные магазины Google и Apple

2 февраля 2023 года стало известно о том, что кибербандиты из Tinder заманивают доверчивых мужчин в жестокую финансовую ловушку. Создатели высокодоходных инвестиционных афёр под названием «разделка свиньи» («The Pig-Butchering Scum») нашли способ обойти защиту магазинов приложений Google Play и Apple App Store. Подробнее здесь.

2022

Harly — еще один троян-подписчик в Google Play

Исследователи «Лаборатории Касперского» сообщили о новом трояне Harly, активном с 2020 года. Согласно отчету, вредоносом заражено по меньшей мере 190 приложений, у которых суммарно 4.8 миллиона скачиваний. Однако жертв может быть гораздо больше. Об этом стало известно 27 сентября 2022 года. Подробнее здесь.

Возвращение SharkBot 2.25 в Google Play

Обновленная версия вредоносной программы SharkBot вернулась в Google Play Store. Вредонос нацелен на банковские данные пользователей, которые устанавливают с виду безобидные приложения, которые на самом деле являются дропперами для SharkBot. Об этом стало известно 7 сентября 2022 года.

Согласно сообщению в блоге Fox IT, подразделения NCC Group, двумя вредоносными приложениями являются "Mister Phone Cleaner" и "Kylhavy Mobile Security", которые в совокупности имеют 60 000 загрузок. И хотя эти два приложения были удалены из Google Play, пользователи, установившие их, все еще находятся в зоне риска.

22 августа 2022 года исследователи из Fox IT обнаружили обновленную версию SharkBot (2.25), которая позволяет злоумышленникам с помощью команды "logsCookie" красть сессионные cookie-файлы, когда жертва входит в системы банковских счетов.

По словам специалистов, в более старых версиях дроппер устанавливает SharkBot, нажимая на кнопки в пользовательском интерфейсе. Однако обновленная версия дроппера для SharkBot делает запрос на C&C-сервер злоумышленников, чтобы получить APK-файл вредоноса.

Иллюстрация:securitylab.ru

Как только APK-файл загружался на устройство жертвы, дроппер уведомляет пользователя о наличии обновления и призывает установить загруженный файл, а затем предоставить все необходимые разрешения.

Чтобы усложнить обнаружения, SharkBot хранит свою конфигурацию в зашифрованном виде с использованием алгоритма RC4.

В ходе расследования ИТ-специалисты Fox IT обнаружили, что вредоносная кампания с использованием SharkBot направлена на Испанию, Австрию, Германию, Польшу, а также США. Эксперты ожидают, что кампаний с использованием SharkBot будет еще больше, поскольку обновленная версия вредоноса активно распространяется среди злоумышленников^[1].

Два миллиона пользователей стали жертвами вредоносных приложений в Google Play

Два миллиона пользователей стали жертвами очередного набора вредоносных приложений в Google Play. Приложения были обнаружены исследователями из Bitdefender, которые использовали метод анализа поведения в реальном времени. Об этом стало известно 19 августа 2022 года.

Иллюстрация:securitylab.ru

По словам специалистов, тактика у операторов обнаруженных приложений была стандартной:

Жертву обманывают, выдавая вредоносное приложение за полезный инструмент;
Сразу же после установки вредонос меняет иконку и название, чтобы затруднить поиск;
Приложение начинает показывать пользователям навязчивую рекламу, используя WebView. Полученная от показов рекламы прибыль идет злоумышленникам.

Эксперты отмечают, что все обнаруженные приложения используют свой собственный фреймворк для загрузки рекламы, поэтому есть вероятность того, что кроме рекламы злоумышленники могут начать загружать на устройства жертв дополнительное вредоносное ПО.

Чтобы пользователь не сумел быстро найти и удалить вредоносные приложения, они устанавливают на место иконки значок шестеренки и переименовывают себя в `Настройки`. Если жертва нажмет на значок, то будет переброшена в настоящее меню настроек. Чтобы оставаться еще более скрытными, вредоносные приложения удаляют себя из списка недавно открытых.

К тому же, вредоносы отличаются крайне сильной обфускацией кода и шифрованием, которое не дает провести реверс-инжиниринг.

Список самых известных приложений (у которых более 100 000 загрузок) выглядит так:

Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren);
Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour);
Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder);
Engine Wallpapers (gb.helectronsoftforty.comlivefour);
Stock Wallpapers (gb.fiftysubstantiated.wallsfour);
EffectMania – Photo Editor 2.0 (gb.actualfifty.sevenelegantvideo);
Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincingeight);
Fast Emoji Keyboard APK (de.eightylamocenko.editioneights);
Create Sticker for Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix);
Math Solver – Camera Helper 2.0 (gb.labcamerathirty.mathcamera);
Photopix Effects – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo);
Led Theme – Colorful Keyboard 2.0 (gb.theme.twentythreetheme);
Animated Sticker Master 1.0 (am.asm.master);
Sleep Sounds 1.0 (com.voice.sleep.sounds);
Personality Charging Show 1.0 (com.charging.show);
Image Warp Camera;
GPS Location Finder (smart.ggps.lockakt).

Ранее сообщалось о другом наборе вредоносных приложений, распространяющихся в Google Play. Кажущиеся безобидными фоторедакторы, виртуальные клавиатуры, различные инструменты и редакторы обоев скрывали в себе вредоносное и рекламное ПО^[2].

Из Google Play вновь удалены десятки приложений, распространяющих вредоносное ПО

Из Google Play вновь удалены десятки приложений, распространяющих вредоносное ПО. Об этом стало известно 19 июля 2022 года.

Исследователей из Zscaler ThreatLabz больше всего заинтересовало распространение печально известного вредоносного ПО Joker, нацеленного на устройства Android. Несмотря на все защитные системы Google, вредонос все равно продолжает попадать в магазин приложений, используя для этого новые сигнатуры, способы запуска и обновленный код.

Joker относится к классу вредоносных приложений, которые используются для биллинга и SMS-мошенничества. Кроме этого, вредонос собирает СМС-сообщения, списки контактов и информацию об устройстве.

На этот раз специалисты обнаружили 53 приложения, зараженные Joker. Известно, что их скачали более 300 000 пользователей. По словам исследователей, большинство зараженных вредоносным ПО приложений делятся на две категории: коммуникационные (47%) и инструменты (39%). Злоумышленники пытаются маскировать зараженные приложения, используя логотипы, похожие на иконки известных мессенджеров и инструментов, чтобы обмануть как можно больше жертв.

Кроме Joker, эксперты обнаружили в приложениях еще два других вредоноса:

FaceStealer – инфостилер, используемый для кражи аккаунтов Facebook (признана экстремистской организацией и запрещена в России). С его помощью хакеры собирали учетные данные жертв, предлагая им авторизоваться в приложении через фейковое окно Facebook.
Coper – банковский троян, маскирующийся под сканер QR-кодов. Он занимается кейлоггингом, умеет перехватывать и отправлять СМС-сообщения, а также позволяет злоумышленникам получить полный контроль над устройством. Его цель – денежные средства жертвы.

Специалисты в очередной раз предупреждают пользователей о том, что даже в Google Play есть вредоносные приложения и рекомендуют внимательно изучать отзывы о приложениях перед установкой^[3].

Свыше 2,7 млн пользователей стали жертвами неизвестного семейства вредоносного ПО

14 июля 2022 года стало известно о том, что свыше 2,7 млн пользователей стали жертвами вредоносного ПО семейства Autolycos, которое было обнаружено ИБ-специалистом компании Evina Максиме Инграо в 8 приложениях, находившихся в Google Play.

На июль 2022 года все вредоносные приложения удалены из магазина приложений.

Ниже представлен список вредоносных приложений и их количество загрузок:

Vlog Star Video Editor – 1 миллион загрузок;
Creative 3D Launcher – 1 миллион загрузок;
Funny Camera – 500 000 загрузок;
Wow Beauty Camera – 100 000 загрузок;
Gif Emoji Keyboard – 100,000 загрузок;
Razer Keyboard & Theme – 50 000 загрузок;
Freeglow Camera 1.0.0 – 5,000 загрузок;
Coco Camera v1.1 – 1,000 загрузок.

И хотя Инграо сообщил о них в июне 2021 года Google удалила вредоносные приложения только через 6 месяцев после сообщения специалиста.

Оказавшись в системе жертвы, Autolycos запускается на фоне, стараясь оставаться незамеченным. Например, вредонос начинает переходить по различным URL-адресам в удаленном браузере, а затем включает результат в HTTP-запросы, заменяя собой Webview. Кроме этого, Autolycos при установке на устройство запрашивает разрешение на чтение СМС-сообщений.

Известно, что для продвижения своих приложений с вредоносным ПО операторы Autolycos запускали многочисленные рекламные кампании в соцсетях. Только для Razer Keyboard & Theme Инграо насчитал 74 рекламные кампании в Facebook (признана экстремистской организацией и запрещена в России)^[4].

Более 200 Android-приложений из Google Play распространяют шпионское ПО Facestealer

Более 200 Android-приложений из Google Play распространяют шпионское ПО Facestealer. Об этом стало известно 18 мая 2022 года.

Из 200 приложений 42 маскируются под VPN-сервисы, 20 – под видеоредакторы и 13 – под фоторедакторы.

Как и Joker, который является еще одной мобильной вредоносной программой, Facestealer часто меняет свой код, генерируя множество вариантов. С момента его обнаружения шпионское ПО постоянно осаждает Google Play, – сообщили специалисты ИБ-компании Trend Micro.

Помимо учетных данных они также похищают cookie-файлы Facebook (признана экстремистской организацией и запрещена в России) и связанную с учетными записями жертв персонально идентифицируемую информацию.

Вдобавок специалисты Trend Micro обнаружили 40 вредоносных криптомайнеров, заставляющих пользователей смотреть рекламу и платить за подписку.

Некоторые поддельные криптовалютные приложения, например, Cryptomining Farm Your own Coin, пошли еще дальше и пытаются похищать закрытые ключи и мнемонические фразы, использующиеся для восстановления доступа к криптовалютным кошелькам^[5].

Добавление раздела «Безопасность данных»

28 апреля 2022 года стало известно о том, что в Google Play появится еще один раздел — «Безопасность данных». В нем любой пользователь сможет посмотреть, доступ к какой личной информации получает приложение, какие данные оно собирает и передает. После этого человек может решить, продолжать ли пользоваться данным сервисом. Также в разделе «Безопасность данных» будет указано, соответствует ли приложение семейной политике Google Play.

Заполнение формы и предоставление ссылки на политику конфиденциальности обязательно для всех разработчиков, включая тех, кто не собирает никаких пользовательских данных, — сообщили в Google

Как рассказали представители Google, за предоставление неверной информации о сборе персональных данных приложению грозит блокировка и удаление из Play Store^[6].

2021

«Доктор Веб» обнаружил в каталоге Google Play вредоносные приложения

1 июля 2021 года компания «Доктор Веб» сообщила, что обнаружила в каталоге Google Play вредоносные приложения, ворующие логины и пароли пользователей Facebook. Эти трояны-стилеры распространялись под видом безобидных программ, общее число установок которых превысило 5 856 010.

Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play вредоносные приложения

По информации компании, в общей сложности специалисты выявили 10 таких троянских приложений. 9 из них на момент обнаружения присутствовали в Google Play:

фоторедактор под названием Processing Photo (детектируется Dr.Web как Android.PWS.Facebook.13). Он распространялся разработчиком chikumburahamilton, и его установили более 500 000 раз.
приложения App Lock Keep от разработчика Sheralaw Rence, App Lock Manager от разработчика Implummet col и Lockit Master от разработчика Enali mchicolo (детектируются как Android.PWS.Facebook.13), позволяющие настраивать ограничение доступа к Android-устройствам и установленному на них ПО. Их загрузили не менее 50 000, 10 и 5 000 раз и соответственно.
утилита для оптимизации работы Android-устройств Rubbish Cleaner от разработчика SNT.rbcl с более чем 100 000 загрузок (детектируется как Android.PWS.Facebook.13).
астрологические программы Horoscope Daily от разработчика HscopeDaily momo и Horoscope Pi от разработчика Talleyr Shauna (детектируются как Android.PWS.Facebook.13). Первую установили свыше 100 000 раз, вторую ― более 1 000 раз.
фитнес-программа Inwell Fitness (детектируется как Android.PWS.Facebook.14) от разработчика Reuben Germaine, которую успели установить свыше 100 000 раз.
редактор изображений PIP Photo, который распространял разработчик Lillians. Различные версии этой программы детектируются как Android.PWS.Facebook.17 и Android.PWS.Facebook.18. У этого приложения ― более 5 000 000 загрузок.

После обращения специалистов «Доктор Веб» в корпорацию Google часть этих вредоносных программ из Google Play были удалены, однако на июль 2021 года некоторые все еще были доступны для загрузки.

Кроме того, при изучении этих стилеров обнаружилась их более ранняя модификация, распространявшаяся через Google Play под видом программы-фоторедактора EditorPhotoPip и уже удаленная из каталога, но все еще доступная на сайтах-агрегаторах приложений. Она была добавлена в вирусную базу Dr.Web как Android.PWS.Facebook.15. Android.PWS.Facebook.13, Android.PWS.Facebook.14 и Android.PWS.Facebook.15 являются нативными Android-приложениями, а Android.PWS.Facebook.17 и Android.PWS.Facebook.18 используют фреймворк Flutter, предназначенный для кроссплатформенной разработки. Несмотря на это их можно считать модификациями одного трояна, так как они используют один формат конфигурационных файлов и одинаковые скрипты JavaScript для кражи данных.

Приложения являлись полностью работоспособными, что должно было ослабить бдительность потенциальных жертв. При этом для доступа ко всем их функциям, а также якобы для отключения рекламы пользователям предлагалось войти в свою учетную запись Facebook. Реклама внутри некоторых программ действительно присутствовала, и этот прием был призван дополнительно подвигнуть владельцев Android-устройств выполнить нужное злоумышленникам действие.

При этом демонстрируемая форма была настоящей. Дело в том, что трояны применяли специальный механизм для обмана своих жертв. Получив после запуска необходимые настройки с одного из управляющих серверов, они загружали легитимную страницу социальной сети Facebook facebook.com/login.php в WebView. В этот же самый WebView загружался полученный с сервера злоумышленников JavaScript, который непосредственно выполнял перехват вводимых данных авторизации. Затем этот JavaScript при помощи методов, предоставленных через аннотацию JavascriptInterface, передавал украденные логин и пароль троянским приложениям, после чего те отправляли их на сервер злоумышленников. После того как жертва входила в свою учетную запись, трояны дополнительно похищали куки текущей сессии авторизации, которые также отправлялись киберпреступникам.

Анализ этих вредоносных программ показал, что все они получали настройки для кражи логинов и паролей от учетных записей Facebook. Однако злоумышленники могли легко изменить их параметры и скомандовать им загрузить страницу какого-либо иного легитимного сервиса или же вовсе использовать полностью поддельную форму входа, размещенную на фишинговом сайте. Таким образом, трояны могли использоваться для кражи логинов и паролей от совершенно любых сервисов. Вредоносная программа Android.PWS.Facebook.15, являющаяся более ранней модификацией, идентична остальным, однако в ней дополнительно присутствует вывод данных в лог на китайском языке, что может указывать на ее возможное происхождение.

Компания «Доктор Веб» рекомендует владельцам Android-устройств устанавливать приложения только от известных и надежных разработчиков, а также обращать внимание на отзывы других пользователей. Отзывы не дают абсолютной гарантии безопасности, однако могут просигнализировать о потенциальной угрозе. Кроме того, обращайте внимание на то, когда и какие программы требуют от пользователя войти в учетную запись какого-либо сервиса. Если пользователь не уверен в безопасности выполняемых действий, следует отказаться от продолжения и удалить подозрительную программу.

Зафиксирована волна мошеннических приложений для пользователей из Юго-Западной Азии и с Аравийского полуострова

В магазин Google Play проникла очередная волна мошеннических приложений, нацеленная на пользователей Android в Юго-Западной Азии и на Аравийском полуострове – было уже более 700 000 скачиваний, прежде чем команда McAfee Mobile Research обнаружила их, и совместно с Google приступили к их удалению. Об этом McAfee сообщила 30 апреля 2021 года.

Image:Зараженные_приложения_в_Google_Play.png

^{Рис. 1. Зараженные приложения в Google Play}

Вредоносные программы встроены в фоторедакторы, обои, головоломки, оболочки клавиатуры и другие приложения. Вредоносные программы перехватывают уведомления о SMS-сообщениях, а затем совершают несанкционированные покупки. Легальные приложения перед тем, как попасть в Google Play, проходят процесс проверки, а мошеннические приложения попали в магазин, отправив на проверку «чистую» версию приложения, а вредоносный код внедряется туда после обновления.

Image:Отрицательные_отзывы_в_Google_Play.jpg

^{Рисунок 2. Отрицательные отзывы в Google Play}

McAfee Mobile Security определяет эту угрозу как Android/Etinu и предупреждает мобильных пользователей, что есть угроза при использовании данного приложения. Команда McAfee Mobile Research продолжает отслеживать эту угрозу, и сотрудничает с Google по удалению этих и других вредоносных приложений из Google Play.

Встроенное в эти приложения вредоносное ПО использует динамическую загрузку кода. Зашифрованные данные вредоносного ПО появляются в папке, связанной с приложением под именами «cache.bin», «settings.bin», «data.droid» или безобидными файлами «.png», как показано ниже.

^{Рисунок 3. Процесс дешифрования}

На рисунке выше показан процесс дешифрования. Во-первых, скрытый вредоносный код в основном .apk приложения открывает файл «1.png» в папке assets, расшифровывает его в «loader.dex», а затем загружает измененный .dex. «1.png» зашифрован с использованием RC4 с именем пакета в качестве ключа. Первая полезная нагрузка создает запрос HTTP POST к серверу C2.

Интересно, что эта вредоносная программа использует серверы управления ключами. Он запрашивает у серверов ключи, и сервер возвращает ключ как значение «s» JSON. Также у этой вредоносной программы есть функция самообновления. Когда сервер отвечает значением «URL», содержимое URL используется вместо «2.png». Однако серверы не всегда отвечают на запрос или возвращают секретный ключ.

Image:Обновленный_ответ_полезной_нагрузки.png

^{Рисунок 4. Обновленный ответ полезной нагрузки}

Как всегда, самые вредоносные функции проявляются на финальной стадии. Вредоносная программа захватывает прослушиватель уведомлений для кражи входящих SMS-сообщений, как это делает вредоносная программа Android Joker, без разрешения на чтение SMS. Как по цепочке вредоносная программа затем передает объект уведомления на финальную стадию. Когда уведомление приходит из пакета SMS по умолчанию, сообщение, наконец, отправляется с использованием интерфейса JavaScript WebView.

^{Рисунок 5. Схема доставки уведомлений}

Исследователи пришли к выводу, что мошенники могли получать сведения об операторе связи пользователя, номере телефона, SMS-сообщениях, IP-адресе, стране и др.

^{Рисунок 6. Утечка данных}

В McAfee ожидат, что угрозы, использующие функцию прослушивания уведомлений, будут продолжать развиваться. Команда McAfee Mobile Research продолжает отслеживать эти угрозы и защищать клиентов, анализируя потенциальные вредоносные программы и работая с магазинами приложений для их удаления. Однако важно обращать особое внимание на приложения, которые запрашивают разрешения, связанные с SMS и прослушиванием уведомлений. Настоящие приложения для обработки фотографий или установки обоев просто не будут запрашивать их, потому что они не нужны для их запуска.

Avast обнаружила мошеннические приложения в Google Play

25 марта 2021 года компания Avast, представитель в области цифровой безопасности и решений защиты, сообщила об обнаружении более 200 fleeceware-приложений в App Store и Google Play. Подробнее здесь.

Обнаружение зловреда, позволяющего получить доступ к банковским приложениям

12 марта 2021 года Check Point сообщила о том, что ее подразделение Check Point Research обнаружило в Google Play Store дроппер — вредоносную программу, созданную для доставки другого вредоносного ПО на устройство жертвы. «Clast82», как его назвали исследователи, запускает вредоносное ПО, которое позволяет хакеру получить доступ к банковским приложениям жертвы и полностью контролировать смартфон. Исследователи обнаружили Clast82 в 10 «полезных» приложениях, например, с функцией VPN или записи экрана.

Clast82 устанавливает на смартфон жертвы банковский троян AlienBot Banker, который может обходить двухфакторную аутентификацию банковских приложений. Также Clast82 оснащен мобильным трояном удаленного доступа (MRAT), позволяющим скачивать приложения и контролировать смартфон жертвы через TeamViewer.

Как Clast82 использует сторонние ресурсы, чтобы обойти механизмы защиты Google:

Firebase (сервис Google) как платформа для связи с C&C (командным сервером). Во время тестового периода Clast82 в Google Play хакер изменил конфигурацию на стороне управления и контроля, используя Firebase, а затем «отключил» вредоносное поведение Clast82 на время проверки приложения со стороны Google.
GitHub в качестве сторонней хостинг-платформы для загрузки полезных данных. Для публикации каждого приложения в Google Play хакер создавал новый аккаунт разработчика и репозиторий в учетной записи GitHub, что позволило ему распространять данные на устройства с установленными вредоносными приложениями.

10 приложений, содержащих Clast82

28 января 2021 года исследователи Check Point Research сообщили о находке Google. 9 февраля компания подтвердила, что все приложения, зараженные Clast82, удалены из Google Play.

Метод, который выбрал хакер, очень изобретательный, но вызывает у нас большие опасения: злоумышленнику удалось обойти защитные механизмы Google Play, используя общедоступные сторонние ресурсы, в данном случае аккаунты GitHub и FireBase. Жертвы были уверены, что скачивают полезные приложения из официального магазина для Android, но вместо этого получили опасный троян, нацеленный на банковские приложения, — говорит Авиран Хазум, исследователь мобильных угроз в Check Point. — Механизмы скрытного обхода систем безопасности, которые используют вредоносные программы, доказывают необходимость установки дополнительных решений для защиты мобильных устройств. Обычной проверки приложения в магазине недостаточно, поскольку злоумышленник может с легкостью менять поведение вредоносного ПО, используя сторонние ресурсы.

2020

Не все приложения устранили уязвимость CVE-2020-8913

Исследователи Check Point Software Technologies подтвердили, что приложения в Google Play Store по-прежнему подвержены известной уязвимости CVE-2020-8913 – а значит, сотни миллионов пользователей Android подвергаются значительному риску. Об этом стало известно 4 декабря 2020 года. Впервые об этой бреши сообщили в конце августа исследователи Oversecured. Используя ее, злоумышленник может внедрить вредоносный код в уязвимые приложения, предоставляя доступ ко ресурсам хост-приложения. В итоге хакер может получить доступ к конфиденциальным данным из других приложений на устройстве.

Проблема коренится в используемой библиотеке Play Core, которая позволяет разработчикам загружать обновления и добавлять функциональные модули в приложения для Android. Уязвимость дает возможность добавлять исполняемые модули в любые приложения, которые используют библиотеку. Если злоумышленник получает доступ к одному вредоносному приложению на устройстве жертвы, то дальше он может украсть ее личную информацию: логины, пароли, финансовые данные, письма в почте.

Разработчикам нужно как можно быстрее обновить приложения

Google признал и исправил ошибку 6 апреля 2020 года, присвоив ей 8,8 баллов из 10 по серьезности. Однако, чтобы полностью устранить угрозу, разработчики должны были внедрить патч в свои приложения. Исследователи Check Point случайным образом выбрали несколько приложений, чтобы посмотреть, кто действительно внедрил исправление, предоставленное Google.

Исследователи нашли уязвимые приложения

В течение сентября 2020 года 13% приложений Google Play из всех проанализированных специалистами Check Point, использовали библиотеку Play Core. При этом у 8% из них были уязвимые версии. Эти приложения для Android все еще были уязвимы:

Viber
Booking
Cisco Teams
Yango Pro (таксометр), Moovit (Карты и навигация)
Grindr, OKCupid, Bumble (приложения для знакомств)
Edge (браузер)
Xrecorder, PowerDirector (утилиты)

Исследователи уведомили все приложения об уязвимости и необходимости обновить версию библиотеки. Дальнейшие тесты показали, что Viber и Booking внесли необходимые исправления после уведомления Check Point.

По нашим оценкам, в опасности находятся сотни миллионов пользователей Android, – рассказывает Авиран Хазум, менеджер по мобильным исследованиям Check Point Software Technologies. – Хотя Google внедрила патч, многие приложения по-прежнему используют устаревшие библиотеки Play Core. Уязвимость CVE-2020-8913 очень опасна. Если вредоносное приложение использует эту брешь, оно может получить доступ к тем же данным, что и уязвимая программа. Если киберпреступник внедрит код в приложения социальных сетей, он сможет шпионить за жертвами, если введет код в мессенджеры – получит доступ ко всем сообщениям. Возможности атаки здесь ограничены только воображением злоумышленников.

Исследователи Check Point связались с Google и передали результаты своих исследований. Комментарий Google:

Соответствующая уязвимость CVE-2020-8913 не существует в последних версиях Play Core.

Avast: троян HiddenAds встречается в Google Play Store в 47 приложениях, имитирующих игры

26 июня 2020 года стало известно, что Avast, компания в области цифровой безопасности и решений защиты, обнаружила в Google Play Store 47 приложений-игр, являющихся частью семейства троянов HiddenAds.

Специалисты Avast уже сообщили представителям Google Play Store о найденных приложениях, но на 26 июня 2020 года некоторые приложения все еще доступны в магазине Google Play. Расследование Google по этим приложениям продолжается. Приложения троянов семейства HiddenAds маскируются под безопасные и полезные приложения –– но на самом деле размещают навязчивую рекламу вне приложений. Всего найденные приложения были загружены более 15 миллионов раз.

Команда Avast смогла обнаружить эту кампанию с помощью программного обеспечения для автоматического обнаружения apklab.io, основываясь на предыдущей кампании HiddenAds, недавно найденной в Google Play Store. Исследователи сравнивали действия, функции и сетевой трафик этих приложений.

Подобные приложения могут скрывать свои значки на зараженном устройстве и навязчиво отображать рекламу – это ключевая особенность семейства троянов HiddenAds. Семь приложений могут открывать браузер на смартфоне для отображения дополнительных объявлений. Даже когда пользователь удалит приложение со своего устройства, реклама все равно будет постоянно показываться. Приложения имеют низкие игровые возможности и низкий рейтинг: пользователи жалуются на постоянную рекламу.

Такие кампании, как HiddenAds, могут попасть в официальный магазин Google Play Store, скрывая свое истинное предназначение или медленно внедряя вредоносные функции, будучи уже загруженными на устройство. Такие рекламные кампании сложно предотвратить, поскольку злоумышленники используют одноразовые аккаунты разработчиков для каждого приложения, – рассказывает Якуб Вавра, аналитик угроз в Avast. – Хотя Google является надежным магазином и регулярно удаляет вредоносные приложения, пользователям все равно необходимо сохранять бдительность. При загрузке приложений на свои устройства важно смотреть, чтобы не было явных признаков плохого приложения – например, отрицательных отзывов, запросов на большое количество разрешений и многое другое.

Ниже приведено 20 самых скачиваемых приложений:

Draw Color by Number - 1,000,000
Skate Board - New - 1,000,000
Find Hidden Differences - 1,000,000
Shoot Master - 1,000,000
Stacking Guys - 1,000,000
Disc Go! - 1,000,000
Spot Hidden Differences - 500,000
Dancing Run - Color Ball Run - 500,000
Find 5 Differences - 500,000
Joy Woodworker - 500,000
Throw Master - 500,000
Throw into Space - 500,000
Divide it - Cut & Slice Game - 500,000
Tony Shoot - NEW - 500,000
Assassin Legend - 500,000
Flip King - 500,000
Save Your Boy - 500,000
Assassin Hunter - 2020 500,000
Stealing Run - 500,000
Fly Skater 2020 - 500,000

Обнаружен троянец, создающий фейковые отзывы о приложениях в Google Play

10 января 2020 года компания «Лаборатория Касперского» сообщила об обнаружении троянца, с помощью которого злоумышленники распространяют многочисленные рекламные объявления и без ведома владельцев устанавливают на их устройства различные приложения, а также оставляют фейковые отзывы в Google Play от их имени. Подробнее здесь.

Удаление более 1700 приложений, зараженных вредоносом Bread

10 января 2020 года стало известно о том, что специалисты из компании Google рассказали о своей успешной операции по борьбе с вредоносным ПО Bread, также известным как Joker. За последние три года компания удалила более 1700 приложений в Play Store, которые были заражены различными версиями данного вредоноса.

Как сообщалось, в то время как большинство операторов вредоносных программ сдаются, как только Google обнаруживает их приложения, операторы Bread продолжили свою деятельность. Уже более трех лет злоумышленники каждую неделю выпускают обновленные версии своих программ.

В какой-то момент преступники использовали почти каждую технику маскировки и обхода защиты, пытаясь остаться незамеченными. В разное время мы обнаруживали три или более активных варианта вредоноса, использующих разные подходы или нацеленных для разных носителей. В пиковые периоды активности преступников мы видели до 23 различных приложений данного семейства в Google Play за один день.

сообщила Google в своем блоге

По словам специалистов, злоумышленники активно эксплуатировали уязвимость в Google Play с целью обойти защитные механизмы. Тактика под названием «versioning» позволяла загружать чистую версию приложения, а уже потом добавлять вредоносные функций путем обновления программы.

Преступники также часто использовали видео YouTube для направления пользователей на вредоносные приложения, пытаясь заразить как можно больше устройств. Операторы вредоноса также использовали поддельные обзоры для повышения популярности приложений и сокрытия негативных отзывов.

Первоначальные версии вредоноса Bread были ориентированы на мошенничество с использованием SMS-сообщений, когда зараженные устройства использовались для оплаты продуктов или услуг путем отправки SMS-сообщения на платный номер.

Когда Google ввела более строгие разрешения для Android-приложений, требующие доступ к SMS на устройстве, преступники сменили тактику и переключились на мошенничество с WAP, в рамках которого зараженные устройства использовались для подключения к платежным страницам через WAP-соединение.^[7]

2019

Около 90% российских популярных Android-приложений передают личные данные третьим сторонам

2 октября 2019 года стало известно, что интернет-издание The Bell с помощью сервиса AppCensus и платформы аудита приватности приложений Exodus проанализировало, какие данные обрабатывают и передают популярные Android-приложения в российском Google Play Store, а также какие разрешения они запрашивают у пользователей. Подробнее здесь.

Avast: 937 приложений-фонариков злоупотребляют доступом к личным данным

10 сентября 2019 года стало известно, что компания Avast обнаружила, что приложения для фонариков для ОС Android запрашивают в среднем 25 разрешений для доступа к разным функциям и данным смартфонов. С помощью мобильной собственной платформы для анализа угроз apklab.io специалисты Avast проанализировали 937 приложений для фонариков в Google Play Store. Исследователи рассматривали как те приложения, которые до сих пор доступны в Google Play Store, так и те, которые когда-либо появлялись в магазине. Согласно результатам, 408 приложений запрашивают до 10 разрешений, 267 — от 11 до 49 разрешений, а 262 приложения запрашивают от 50 до 77 разрешений.

Приложения действительно могут запрашивать разрешения для доступа к данным или некоторым функциям на устройствах, которые им необходимы для работы. Например, приложению фонарика необходим доступ к вспышке телефона, чтобы использовать ее как подсветку. Однако многие приложения запрашивают доступ к большему количеству данных, чем им действительно нужно.

Смысл некоторых разрешений, запрашиваемых приложениями-фонариками, которые мы изучали, действительно трудно объяснить. Например, запись звука, которую запросили 77 приложений, или список контактов, который зачем-то нужен 180 приложениям. Самое необычное в этом списке — возможность записывать контакты: 21 приложение-фонарик хотело получить его. Приложения-фонарики, которые мы рассмотрели, являются лишь примером того, как даже самые простые приложения могут получить доступ к приватной информации. Часто к личным данным получают доступ не только разработчики приложений, но и рекламодатели, с которыми они работают, чтобы монетизировать эти сведения. Политики конфиденциальности для разработчиков, к сожалению, не являются исчерпывающими, поскольку во многих случаях политики конфиденциальности, относящиеся к третьим сторонам, тесно переплетены,

говорит Луис Корронс, ИТ-евангелист в Avast

Топ 10 приложений в Google Play, которые запрашивают больше всего разрешений:

Место	Название приложения	Кол-во запрашиваемых разрешений	Кол-во загрузок
1	Ultra Color Flashlight	77	100,000
2	Super Bright Flashlight	77	100,000
3	Flashlight Plus	76	1,000,000
4	Brightest LED Flashlight -- Multi LED & SOS Mode	76	100,000
5	Fun Flashlight SOS mode & Multi LED	76	100,000
6	Super Flashlight LED & Morse code	74	1,000,000
7	FlashLight – Brightest Flash Light	71	1,000,000
8	Flashlight for Samsung	70	500,000
9	Flashlight - Brightest LED Light &Call Flash	68	1,000,000
10	Free Flashlight – Brightest LED, Call Screen	68	500,000

Не очень ясно, как стоит отмечать приложения, которые запрашивают много разрешений — как вредоносные или только как потенциально опасные. Приложения действительно могут просить дать доступ к самым разным функциям или данным смартфона — но это не означает, что приложение вредоносное.

Кроме того, пользователь сам решает, давать доступ к той или иной функции или нет. Поэтому крайне важно, чтобы пользователи тщательно проверяли разрешения, запрашиваемые приложением, перед его установкой. Кроме того, пользователи должны внимательно ознакомиться с политикой и условиями конфиденциальности, а также с отзывами пользователей на странице загрузки приложения.

Троянца-кликера из каталога Google Play установили почти 102 млн. пользователей Android

8 августа 2019 года «Доктор Веб» сообщил, что троянца-кликера из каталога Google Play установили почти 102 000 000 пользователей Android. Подробнее здесь.

Специалисты Avast обнаружили семь шпионских приложений в Google Play Store

18 июля 2019 года стало известно, что исследователи из отдела исследования угроз и защиты для мобильных устройств Avast обнаружили в Google Play Store семь приложений, которые, вероятно, были созданы российскими разработчиками. Приложения позволяют следить за коллегами и родственниками.

Специалисты Avast сразу сообщили о приложениях, среди которых были Spy Tracker, Employee Work Spy и SMS Tracker, в Google. Компания оперативно удалила все приложения из Google Play Store.

Все вместе эти приложения были загружены более 130 000 раз. Самое большое количество установок пришлось на Spy Tracker и SMS Tracker — их установили более 50 000 раз.

Все приложения требуют, чтобы у человека, желающего проследить за своими близкими и коллегами, был доступ к устройству жертвы. Вредоносное приложение нужно загрузить из Google Play Store на отслеживаемое устройство. Потребуется ввести пароль своей электронной почты — на него приложение вышлет пароль для доступа к полученным данным.

После того, как вы установили первое приложение и настроили его, оно само загрузит еще одну программу. Тогда первое приложение можно будет удалять — жертва не увидит шпионское ПО, установленное на ее смартфоне.

Обнаруженные вредоносные приложения могли отслеживать местонахождение жертвы, собирать её контакты, СМС и историю звонков. На некоторых устройствах можно было получить доступ к сообщениям WhatsApp и Viber.

Шпионские приложения позволяют определять местонахождение жертвы

Полный список обнаруженных шпионских приложений:

Track Employees Check Work Phone Online Spy Free
Spy Kids Tracker
Phone Cell Tracker
Mobile Tracking
Spy Tracker
SMS Tracker
Employee Work Spy

Изображения шпионских программ в Google Play Store

Использовать приложения такого типа неэтично по отношению к окружающим. Подобные программы создают большие проблемы для приватности людей, и они не должны появляться в Google Play Store, так как они пропагандируют преступное поведение. Работодатели, родители или супруги, получив приватную информацию, могут злоупотреблять ей. Некоторые из этих приложений позиционируют себя как приложения для родительского контроля, но их описания говорит о другом. Мы классифицируем такие приложения как stalkerware — шпионские. С помощью аналитической платформы apklab.io мы можем быстро идентифицировать их и передавать эту информацию в Google, чтобы удалить их,

объясняет Николаос Хрисаидос, глава отдела исследования угроз и защиты для мобильных устройств Avast

Троян-бэкдор маскируется под ПО для обновления графического интерфейса OpenGL ES

12 июля 2019 года компания «Доктор Веб» сообщила, что выявила в Google Play троянец-бэкдор, который выполняет команды злоумышленников, позволяет им дистанционно управлять инфицированными Android-устройствами и шпионить за пользователями.

По информации компании, вредоносная программа получила имя Android.Backdoor.736.origin. Она распространяется под видом приложения OpenGL Plugin для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений.

При запуске Android.Backdoor.736.origin запрашивает доступ к нескольким важным системным разрешениям, которые позволят ему собирать конфиденциальную информацию и работать с файловой системой. Кроме того, он пытается получить допуск к показу экранных форм поверх интерфейса других программ.

В окне вредоносного приложения имеется кнопка для «проверки» обновлений графического программного интерфейса OpenGL ES. После ее нажатия троянец имитирует процесс поиска бновленных версий OpenGL ES, однако на самом деле никаких проверок он не выполняет и лишь вводит пользователя в заблуждение.

После того как жертва закрывает окно приложения, Android.Backdoor.736.origin убирает свой значок из списка программ меню главного экрана и создает ярлык для своего запуска. Это делается для того, чтобы в дальнейшем пользователю было сложнее удалить троянца, поскольку удаление ярлыка не затронет саму вредоносную программу.

Android.Backdoor.736.origin постоянно активен в фоновом режиме и может запускаться не только через значок или ярлык, но также автоматически при старте системы и по команде злоумышленников через Firebase Cloud Messaging. Основной вредоносный функционал троянца расположен во вспомогательном файле, который зашифрован и хранится в каталоге с ресурсами программы. Он расшифровывается и загружается в память при каждом старте Android.Backdoor.736.origin.

Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды злоумышленников и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging.

Android.Backdoor.736.origin способен выполнять следующие действия:

передать на сервер информацию о контактах из телефонной книги;
передать на сервер информацию об СМС-сообщениях (в исследованной версии троянца для этого нет необходимых разрешений);
передать на сервер информацию о телефонных вызовах;
передать на сервер информацию о местоположении устройства;
загрузить и запустить apk- или dex-файл с использованием класса DexClassLoader;
передать на сервер сведения об установленных программах;
скачать и запустить исполняемый файл;
загрузить файл с сервера;
отправить заданный файл на сервер;
передать на сервер информацию о файлах в заданном каталоге или о файлах на карте памяти;
выполнить shell-команду;
запустить активность, заданную в команде;
загрузить и установить Android-приложение;
показать уведомление, заданное в команде;
запросить заданное в команде разрешение;
передать на сервер список разрешений, предоставленных троянцу;
не позволять устройству переходить в спящий режим в течение заданного времени.

Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.

Android.Backdoor.736.origin способен устанавливать приложения сразу несколькими способами:

автоматически, если в системе есть root-доступ (с использованием shell-команды);
при помощи системного менеджера пакетов (только для системного ПО);
показав стандартный системный диалог установки программ, где пользователь должен согласиться на инсталляцию.

Таким образом, этот бэкдор представляет серьезную опасность. Он не только занимается кибершпионажем, но также может использоваться для фишинга, т. к. способен показывать окна и уведомления с любым содержимым. Кроме того, он может загружать и устанавливать любые другие вредоносные приложения, а также выполнять произвольный код. Например, по команде злоумышленников Android.Backdoor.736.origin может скачать и запустить эксплойт для получения root-полномочий, поле чего ему уже не потребуется участие пользователя для инсталляции других программ.

Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на июль 2019 года он уже был удален из Google Play.

Публикуемые в Play Store приложения будут проверяться вручную

17 апреля 2019 года стало известно, что компания Google внесла изменения в политики безопасности Play Store, благодаря которым разработчики вредоносных Android-приложений больше не смогут публиковать свои продукты в магазине. В частности Google ввела ограничения для Android API, и теперь перед публикацией в Play Store каждое приложение должно в обязательном порядке проходить сложную проверку и тестирование безопасности.

Среди прочих улучшений – проверка приложений людьми, а не автоматизированными средствами. Кроме того, разработчики больше не могут злоупотреблять сервисами доступности Android, а для приложений были введены ограничения на получение доступа к некоторым сервисам, например, к журналам звонков и SMS.

Ранее Google уже добавила в свой магазин сканер, осуществляющий поиск вредоносного ПО на базе активности приложений. К другим мерам по усилению защиты Play Store относится запуск программы выплаты вознаграждения за обнаруженные уязвимости и пр.

Процесс проверки добавляемых в Play Store приложений от новых разработчиков без истории публикации надежных приложений стал быстрее и теперь будет занимать не недели, а дни.

Хотя большинство разработчиков Android-приложений являются добросовестными, некоторые учетные записи все же блокируются за серьезные систематические нарушения политик безопасности. Хотя более чем в 99% случаев решение о блокировке является верным, нас очень волнует то, какие последствия может вызвать блокировка по ошибке, - сообщается в блоге Google.

Отныне владельцы ошибочно заблокированных учетных записей могут сразу же подавать апелляцию, и команда Android внимательно ее рассмотрит. Если в процессе проверки выяснится, что учетная запись заблокирована по ошибке, она будет восстановлена^[8].

В 206 приложениях обнаружена особая разновидность рекламного вредоносного ПО

14 марта 2019 года стало известно, что исследователи Check Point Research обнаружили вредоносную кампанию в магазине Google Play. Особая разновидность рекламного вредоносного ПО была обнаружена в 206 приложениях, а общее количество скачиваний достигло почти 150 миллионов. Google был быстро уведомлен и удалил зараженные приложения из магазина Google Play. Check Point назвал эту вредоносную программу SimBad, так как большая часть зараженных приложений представляет собой игры-симуляторы.

Функционал SimBad можно разделить на три группы: показ рекламы, фишинг и доступ к другим приложениям. Благодаря возможности открывать заданный URL-адрес в браузере, скрывающийся за SimBad злоумышленник может создавать фишинговые страницы для нескольких платформ и открывать их в браузере, тем самым запускать фишинг-атаки на пользователя.

Благодаря способности зловреда открывать магазины приложений, таких как Google Play и 9Apps, злоумышленник может установить удаленное приложение с назначенного сервера. Так он может в любое время установить вредоносное ПО и увеличить свою прибыль.

Как только пользователь загружает и устанавливает одно из зараженных приложений, SimBad регистрирует себя в манифестах BOOT_COMPLETE и USER_PRESENT, что позволяет SimBad выполнять действия после того, как устройство завершит загрузку и пока пользователь использует свое устройство соответственно.

После установки вредоносная программа подключается к указанному командному серверу для выполнения определенных действий. SimBad обладает широкими возможностями, таких как удаление значка с панели запуска, что усложняет его удаление пользователем, запуск фоновой рекламы и открытие браузера с заданным URL-адресом.

Командный сервер, наблюдаемый в этой кампании, — addroider.com. На этом сервере запущен экземпляр Parse Server (исходный код на GitHub), версия с открытым исходным кодом инфраструктуры Parse Backend, которая представляет собой модель, позволяющую разработчикам веб-приложений и мобильных приложений связывать свои приложения с бэкэнд-облачным хранилищем и API-интерфейсы, предоставляемые фоновыми приложениями, а также такие функции, как управление пользователями, push-уведомления и многое другое.

Домен addroider.сom был зарегистрирован через хостинг GoDaddy и использует службу защиты конфиденциальности. При заходе на домен из браузера вы получаете страницу входа, очень похожую на другие панели вредоносных программ. Ссылки регистрации «Register» и «Sign Up» не работают и «перенаправляют» пользователя обратно на страницу входа.

Согласно анализу RiskIQ, срок действия домена истек 7 месяцев назад. В результате, возможно, вы просматриваете взломанный, присвоенный домен, который изначально использовался на законных основаниях, но теперь участвует в злоумышленных действиях.

Исследователи Check Point полагают, что разработчики не были в курсе вредоносного содержания RXDrioder SDK, так как, согласно исследованию, кампания не была ориентирована на конкретную страну и была разработана другим разработчиком.

На март 2019 года SimBad действует как рекламное вредоносное приложение, открывая рекламные страницы, однако обладает большим функционалом, способным на большую угрозу.

Каждое пятое VPN-приложение — потенциальный источник вредоносного ПО

22 января 2019 года стало известно, что наиболее популярные бесплатные VPN-приложения в Google Play Store содержат проблемы, которые могут угрожать безопасности пользователей. Согласно результатам исследования, проведенного специалистом Metric Labs Симоном (Simon Migliano), каждое пятое приложение является потенциальным источником вредоносного ПО, а в четверти проанализированных программ содержатся уязвимости, связанные с утечками DNS-запросов пользователей.

Специалист изучил 150 VPN-приложений, общее число загрузок которых составило примерно 260 млн раз. Из изученных сервисов порядка 85% обладали интрузивными разрешениями, а также функциями, подвергающими риску конфиденциальность пользователей.

В частности, 57% приложений содержали код для сбора данных о последнем известном местоположении пользователя, 38% приложений запрашивали доступ к информации о статусе устройств, 25% приложений отслеживали местоположение пользователей, а некоторые программы запрашивали разрешение на использование камеры и микрофона устройства или могли скрытно отправлять SMS-сообщения^[9].

10 VPN-приложений и обнаруженые в них проблемы безопасности

2018

Приложения с вирусами сотни тысяч раз скачали в Google Play

В марте 2018 года стало известно о присутствии вируса в популярных Android-приложениях, размещенных в каталоге Google Play. Вредоносный код обнаружили специалисты компании SophosLab (специализируется на технология информационной безопасности), которые поделились находкой в своем блоге.

Зловред, который в SophosLab идентифицировали как Andr/HiddnAd-AJ, скрывался в программах для чтения QR-кодов (среди них – QR Code Free Scan, QR Code / Barcode и QR & Barcode Scaning) и приложении Smart compass, расположенных в магазине Google Play. Вирус использовался его распространителями для вывода рекламных объявлений на экран мобильных устройств и рекламных ссылок, позволяя мошенникам накручивать рекламные клики, даже когда само зараженное приложение неактивно.

В марте 2018 года стало известно о присутствии вируса в популярных Android-приложениях, размещенных в каталоге Google Play

При первом запуске инфицированное приложение отправляет запрос на сервер злоумышленников, чтобы получить необходимую конфигурацию. Затем вирус получает доступ к списку ссылок, сообщений и иконок, которые вскоре начинают захламлять смартфон жертвы. Интересно, что к хакерской программе приложен небольшой графический компонент, через который можно управлять ее работой.

Отмечается, что зараженные Andr/HiddnAd-AJ приложения в Google Play скачали более 500 тыс. раз. Хакеры предпринимали ряд мер по маскировке вируса: во-первых, зараженная часть программного обеспечения выдавала себя под стандартную библиотеку программирования Android, которую также встроили в приложения, а, во-вторых, вредоносный элемент активизировался спустя несколько часов после загрузки жертвами софта из Google Play.

SophosLab уведомила Google об опасности, и интернет-компания удалила все зараженные приложения из магазина. Чтобы обезопасить себя от подобных заражений, специалисты рекомендуют владельцам Android-устройств пользоваться антивирусами.^[10]

Обнаружение вредоносных криптомайнеров

Специалисты компании Avast 16 марта 2018 года сообщили об обнаружении в Google Play два приложения SP Browser и Mr. MineRusher со встроенным вредоносным ПО для майнинга криптовалюты Monero. Приложения уже скачали тысячи пользователей.

В ноябре 2017 года Avast обнаружил штамп вредоносных программ JSMiner в Google Play — криптомайнер скрывался внутри игрового приложения Cooee.

Процесс мобильного майнинга начинается по схожей схеме, когда пользователь загружает приложение и открывает его. Далее происходит автоматическое соединение с веб-сайтом apptrackers.org, где размещен CoinHive Java Script для майнинга Monero. Как только соединение с доменом выполняется, начинается майнинг. Весь процесс проходит незаметно для пользователя — в фоновом режиме, когда экран выключен, а устройство использует передачу данных или подключено к Wi-Fi.

Специалисты Avast провели эксперимент майнинга Monero с помощью мобильных телефонов. Участники стали свидетелями быстрого разряда батареи, неработающих веб-сайтов и, в некоторых случаях, полномасштабных сбоев.

Появление вредоносных криптовалютных приложений

В Apple App Store, Google Play и других онлайн-магазины можно запросто встретить вредоносные криптовалютные приложения, с помощью которых хакеры похищают деньги и персональные данные людей. Об этом свидетельствуют данные ИБ-компании RiskIQ, опубликованные 24 января 2018 года. Подробнее здесь.

2017

Из Google Play удалено более 80 зловредов, ворующих данные пользователей «Вконтакте»

Эксперты «Лаборатории Касперского» всего за два месяца нашли в Google Play 85 вредоносных приложений, ворующих данные пользователей для входа в социальную сеть «ВКонтакте». Самое популярное из них было установлено более миллиона раз, еще у семи было от 10 000 до 100 000 установок.

Приложения крали данные на доступ только на устройствах с определенными языками — русским, белорусским, украинским, казахским, армянским, азербайджанским, киргизским, румынским, таджикским и узбекским. Это закономерно, учитывая, что социальная сеть «ВКонтакте» действительно популярна только на пространстве бывшего СССР.

По всей вероятности, преступники использовали украденные данные в первую очередь для раскрутки групп «ВКонтакте».

Некоторые из атакованных пользователей жаловались, что они оказались подписаны на определенные страницы без собственного ведома, — говорится в публикации «Лаборатории Касперского». — Информации о попытках использовать эти данные для более явных мошеннических действий пока не поступало.

Большая часть вредоносных приложений была загружена в Google Play в июле и активирована в октябре 2017 года. Преимущественно они имитировали всякие дополнения к основной функциональности социальной сети — например, для прослушивания музыки или отслеживания гостей на странице профиля в социальной сети. Естественно, эти приложения требовали ввода логина и пароля для VK.com.

Впрочем, самым популярным — с более чем миллионом загрузок — приложением оказалась мобильная игра, опубликованная в Google Play еще в марте. Изначально вредоносной составляющей в ней не было — она появилась только в октябре после очередного обновления. То есть, киберпреступники выжидали около семи месяцев, пока игра наберет достаточную популярность, чтобы обеспечить максимальное распространение вредоносного компонента.

После того, как «Лаборатория» уведомила администраторов социальной сети и Google об угрозе, все приложения, содержавшие вредоносный код, были удалены из Google Play.^[11]

Как отличить вредоносные приложения

К сожалению, несмотря на все усилия Google, вредоносные приложения продолжают проникать в Google Play, — отметил Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Пример с мобильной игрой, которая обзавелась вредоносной «начинкой» далеко не сразу, весьма красноречив: приложение может быть изначально безвредным, а затем в одночасье начинает представлять массированную угрозу.

Что касается защиты, то, как отметил Гинятуллин, пользователям следует проверять, кто является разработчиком приложения, даже если оно опубликовано в официальном магазине Google. Кроме того, если «неофициальное» приложение требует вводить логин и пароль от социальной сети, это явный признак дурных намерений.

Технические подробности об этих приложениях доступны на сайте securelist.ru.^[12]

В Google Play бум троянцев, маскирующихся под мобильные приложения банков

Group-IB в конце ноября 2017 года отметила волну массового распространения троянцев, маскирующихся под мобильные приложения ведущих банков страны. Специалисты Group-IB блокируют ресурсы, с которых идет распространение этих приложений, но их объем постоянно растет.

Трояны, предназначенные для мобильных устройств под управлением ОС Android, распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах. При этом эксперты Group-IB отметили высокое качество программ-подделок, что сбивает с толку многих пользователей, не обращающих внимание на подозрительные «мелочи». Подробнее здесь.

Авторы фальшивых антивирусов наживаются на связанных с WannaCry страхах

В июне 2017 года исследователи из компании RiskIQ обнаружили сотни мобильных приложений, выдающих себя за средства защиты от шифровальщика WannaCry, на деле оказываясь в лучшем случае бесполезными, в худшем — вредоносными. Подобные приложения являются частью более масштабной проблемы — фальшивых мобильных антивирусов.^[13]

С помощью простого поиска в Сети эксперты обнаружили более шести тысяч мобильных приложений, обозначающихся либо в качестве антивирусов, либо в качестве источников информации об антивирусах, либо в качестве вспомогательных средств, дополняющих антивирусные решения. Более четырех тысяч из этих приложений активны к середине июня 2017 года, при этом 525 из них занесены в черный список сервиса VirusTotal, который собирает сведения от настоящих поставщиков антивирусных решений.

Исследователи из компании RiskIQ обнаружили сотни мобильных приложений, выдающих себя за средства защиты от шифровальщика WannaCry, на деле оказываясь в лучшем случае бесполезными

Это не означает, что все эти приложения являются вредоносными, отмечают исследователи, добавляя, что действительно опасные опасные программы могут и не попадать в черные списки — по крайней мере, в течение какого-то времени.

Специалисты RiskIQ обнаружили в Google Play Store 508 активных приложений, обозначающихся как антивирусы, при этом порядка 55 из них оказались в черных списках VirusTotal. В целом были исследованы 189 различных магазинов приложений для мобильных устройств (не только Google Play Store). При этом 20% приложений из списков VirusTotal приходятся на официальный магазин Google; 10,8% из них — активны и по сей день, несмотря на то, что администраторы магазина регулярно устраняют сомнительные и откровенно вредоносные программы.

Например, затесавшийся в Google Play фальшивый антивирус Antivirus Malware Trojan был скачан 10 тысяч раз, прежде чем его убрали.

В другом магазине — Mobiles24 — доверчивым пользователям предлагалась программа Android's Antivirus, которая на деле содержала пять разных вариантов вредоносного ПО. Программу успели скачать 3,5 тысячи раз.

Среди приложений, якобы защищающих от WannaCry, откровенно вредоносных не нашлось, но и ничего полезного они не дают: шифровальщик WannaCry не атакует мобильные платформы (по крайней мере, пока), так что заявления о «защите» — не более чем недобросовестная реклама. Авторы этих приложений эксплуатируют недостаточную информированность пользователей, равно как и истерию, связанную с недавней эпидемией.

Как отмечают в своей публикации эксперты RiskIQ, сохраняется вероятность, что кто-то захочет снабдить якобы защищающие от WannaCry приложения вредоносным компонентом. ^[14]

Спамеры и вирусописатели традиционно используют громкие информационные поводы к своей выгоде, — говорит Ксения Шилак, директор по продажам компании Sec-Consult. — Так и здесь: очень многие пользователи "что-то слышали" про эпидемию WannaCry, но куда меньше проявили интерес к деталям — кто может стать жертвой, какие платформы уязвимы и как защититься. Недостаток информированности может представлять даже большую угрозу, чем уязвимости в ПО.

В Google Play обнаружено больше сотни вредоносных приложений

В марте 2017 года исследователи из компании Palo Alto Networks выявили в магазине Google Play 132 приложения для Android, содержавшие вредоносные компоненты. Администрация Google Play оперативно отреагировала на сообщение и удалила небезопасный софт.

По данным Palo Alto Networks, выявленные приложения использовали компонент Android WebView, позволяющий отображать изображения и текст в виде статичных HTML-страниц. Эти страницы, как оказалось, содержали скрытые IFrame со ссылками на вредоносные домены.

Магазин Google Play

Как пишут исследователи, одна из таких зараженных страниц пыталась скачать и установить зловред, однако процедура скачивания и сам вредонос способны функционировать только в среде Windows, не причиняя никакого вреда самому смартфону.

Упомянутые вредоносные домены давно неактивны: контроль над ними был перехвачен польским центром реагирования на компьютерные инциденты (CERT) еще в 2013 году.

По всей видимости, разработчики этих мобильных приложений сами стали жертвами злоумышленников. На это указывает и использование давно дезактивированных вредоносных доменов, и зловред под Windows, и некоторое сходство в структуре кода, указывающее на возможность генерации приложений с помощью одной и той же платформы.

Эксперты Palo Alto Networks предполагают, что разработчики приложений могли использовать одну и ту же интегрированную среду разработки (IDE), которая была уже заражена вредоносным ПО или использовали онлайн-платформу для генерации приложений, в которую ранее был интегрирован вредоносный код. Тот, в свою очередь, интегрировал IFrame со ссылками на опасные домены в HTML-компоненты приложений.

Администрация Google Play удалила все эти приложения, хотя сами по себе они не представляли угрозы.^[15]