В сторонних магазинах для Android найдено более 1000 приложений с вредоносным кодом


Оглавление (нажмите, чтобы открыть):

Как распознать вредоносные мобильные приложения без антивируса

Стремительное распространение смартфонов в свою очередь привело к бурному развитию мобильных приложений. Сейчас можно найти приложения для любых мыслимых и немыслимых целей. К сожалению, среди многих полезных приложений можно нередко столкнуться и с вредоносными приложениями — данный рынок действительно небезопасен.

К счастью, есть несколько способов для определения опасных приложений.

Исследователи RiskIQ провели анализ более 120 площадок по распространению мобильных приложений по всему миру. Они рекомендует пользователям обратить внимание на три основные вещи при оценке легитимности приложения.

Неподходящие разрешения

Если разрешения приложения не соответствуют анонсируемым функциям, то нужно проявить особую осторожность. Попробуйте самостоятельно ответить на вопрос, действительно ли приложение нуждается в доступе к вашим телефонным звонкам, SMS-сообщениям или биллингам, чтобы выполнять свои функции?

Разработчики, использующие бесплатные почтовые службы

Разработчики вредоносных приложений также часто используют контактные адреса электронной почты, зарегистрированные с помощью бесплатных почтовых служб, таких как Hotmail, Gmail и Yahoo.

Потребителям рекомендуется убедиться, что контактный адрес является действительным. Например, контакт приложения якобы от известного бренда, не будет использовать адрес john.smith@yahoo.com.

Еще один повод для беспокойства — полное отсутствие контактного электронного адреса. Небольшое исследование в поисковой системе на основании предоставленной информации и критическая оценка результатов должны быть необходимы, прежде чем даже думать о загрузке неизвестного приложения.

Короткое и небрежное описание

Большое число загрузок и хорошие отзывы не являются гарантированным признаком легитимного приложения.

Хорошие обзоры могут быть подделаны или проплачены, а большое количество загрузок может свидетельствовать о большом числе жертв обмана.

Пользователям полезно посмотреть на описание приложения: плохая грамматика и бессмысленная экспозиция с одного стороны могут свидетельствовать о плохом знании языка, но это также одна из отличительных черт мобильных вредоносных кампаний.

Разработчики угроз следят за трендами

Злоумышленников обычно привлекают трендовые темы — популярные приложения и игры, ближайшие праздники и важные даты. Например, в августе и сентябре активно развивается тема “назад в школу” — киберпреступники тоже не пройдут мимо.

Когда исследователи использовали запрос “back to school” (“назад в школу”), то они обнаружили 9343 приложений на анализируемых площадках. Из них 1182 приложений (12.7%) оказались вредоносными. При этом 333 опасных приложения оказались в магазине приложений Google Play, несмотря на повышенные меры безопасности.

Тот факт, что тысячи вредоносных приложений присутствуют в популярных магазинах, таких как Google Play, показывает, что потребителям приходится полагаться только на себя при определении безопасности отдельного приложения.

Нашли опечатку? Выделите и нажмите Ctrl + Enter

9 опасных приложений на Andro >

Ребята, мы вкладываем душу в AdMe.ru. Cпасибо за то,
что открываете эту красоту. Спасибо за вдохновение и мурашки.
Присоединяйтесь к нам в Facebook и ВКонтакте

Google Play — отличная площадка для новых разработчиков, которые хотят сделать собственное приложение. Но не все из них имеют только чистые помыслы: некоторые из этих программ могут собирать ваши данные, передавать персональную информацию и даже обчистить ваш счет.

AdMe.ru создал список наиболее подозрительных приложений. № 5 лучше удалить сразу.

№ 1. Погодные приложения

Погодные приложения обрели практически вирусную популярность в период появления, после чего последовала столь же стремительная вирусная атака на такие программы. В частности, был пример, когда в погодное приложение встроили троян, который собирал данные владельца смартфона и передавал их злоумышленникам. Особенно их интересовали данные банковских карт.

Популярность погодных приложений сейчас идет на спад: гораздо удобнее и менее энергозатратно просматривать прогнозы синоптиков в поисковике.


№ 2. Социальные сети

Подобные приложения также стихийно обрели популярность и быстро потеряли ее. В данном случае хакеры ни при чем, просто сами приложения потребляют много энергии и памяти смартфона, из-за чего последний безбожно тормозит. Например, пользователям Facebook более удобной показалась мобильная версия в браузере, к которой многие вернулись после того, как протестировали приложение. Кстати, многие пользователи «ВКонтакте» также отдают предпочтение мобильной версии сайта.

№ 3. Оптимизаторы

Clean Master и другие подобные оптимизаторы заботятся о своевременной очистке кеша и удалении ненужных программ. Однако большинство современных смартфонов имеет подобные функции в системе, что делает такие приложения бесполезными, ведь кеш и батарею телефона они продолжают потреблять. Так что вы не добьетесь ускорения работы системы, а только замедлите ее, получив «бонусом» рекламу.

№ 4. Встроенные браузеры

Встроенные браузеры идут в нагрузку к прошивке телефона, и зачастую они куда более медленные и малоизвестные. В большинстве случаев встроенный браузер открывается только случайно при нажатии на ссылку, так как, в отличие от Google Chrome, эти программы не имеют защиты от перехвата данных и тормозят работу системы.

Мастер Йода рекомендует:  Знакомство со Spring Data MongoDB

№ 5. Антивирусы от непроверенных разработчиков

Когда хакеры начали взламывать телефоны и похищать данные, стали массово появляться и скачиваться мобильные антивирусы. Тогда хакеры подумали. и сделали собственные антивирусы. Такие программы могут похищать личные данные и даже блокировать телефоны своих пользователей, полностью лишая их возможности управлять системой. С подобным антивирусом никакие другие вирусы не нужны.

№ 6. Браузеры с дополнительными функциями

В эту категорию входят браузеры со специальными функциями, например просмотра видео или трансляций. Однако у таких приложений есть два существенных минуса. Во-первых, количество встраиваемой рекламы способно поразить воображение, все это невероятно раздражает и затрудняет работу в сети. Во-вторых, не может не насторожить посягательство на приватность: приложения требуют доступа ко множеству разделов, даже к управлению звонками, что делает их небезопасными.

№ 7. Приложения для увеличения объема оперативной памяти

Приложения для увеличения объема оперативной памяти являются, по сути, теми же оптимизаторами: они могут только своевременно очищать кэш, что телефон способен сделать и самостоятельно. Что касается оперативной памяти, то большего объема, чем тот, которым изначально располагает смартфон, вы не получите. Так что эти программы будут только тратить ресурсы и, возможно, собирать ваши данные.

№ 8. Детекторы лжи

Подобные приложения невозможно воспринимать всерьез, они созданы исключительно для развлечения. Возможно, в будущем, когда смартфоны будут оснащены биометрическими датчиками, они действительно смогут считывать изменения пульса во время ответов на вопросы, но сейчас от детектора лжи в телефоне не больше толку, чем от хрустального шара. Как и все подобные приложения, они расходуют заряд батареи. Кроме того, для работы такой программе не нужен доступ к контактам или персональным данным. Так что если приложение пытается получить доступ к системе, то его лучше не устанавливать.

№ 9. Дефрагментаторы

Приложения для дефрагментации жесткого диска сразу после своего появления обрели огромную популярность из-за аналогии с подобными программами для персонального компьютера. Но в телефоне жесткого диска для дефрагментации просто нет — эти приложения просто анализируют, сколько места занимают во внутренней памяти те или иные программы. Кроме того, дефрагментаторы также будут тратить ресурсы смартфона и могут собирать ваши данные.

Учитывая настоящий бум в сфере создания приложений, Google не может отследить и проверить все новые программы, поэтому безопасность вашего смартфона и его работоспособность во многом зависят от вас. Пишите в комментариях, сколько приложений из нашего списка вы нашли у себя.

Android-Robot

Новости науки и техники

Поделиться

Вы здесь: Главная Software IOS Нашлось более 10 приложений, связанных с вредоносным ПО Golduck

Нашлось более 10 приложений, связанных с вредоносным ПО Golduck

Исследователи в области безопасности говорят, что обнаружили более десятка приложений для iPhone, которые тайно общаются с сервером, связанным с Golduck, исторически сложившейся для Android вредоносной программой, которая заражает популярные классические игровые приложения.

Вредоносная программа известна уже более года , после того как Appthority впервые обнаружила ее, заражая классические и ретро-игры в Google Play, внедрив закулисный код, который позволял незаметно передавать вредоносные данные на устройство. В то время вредоносное ПО затронуло более 10 миллионов пользователей, что позволило хакерам запускать вредоносные команды с самыми высокими привилегиями, такими как отправка премиальных SMS-сообщений с телефона жертвы, чтобы заработать деньги.

Теперь исследователи говорят, что приложения для iPhone, связанные с вредоносным ПО, также могут представлять опасность.

Wandera, компания по обеспечению безопасности предприятий, заявила, что обнаружила 14 приложений — все в стиле ретро, ​​- которые обменивались данными с одним и тем же сервером управления и контроля, используемым вредоносным ПО Golduck.


«Домен [Golduck] был в списке наблюдения, который мы создали из-за его использования в прошлом для распространения определенного вида вредоносных программ для Android», — сказал Майкл Ковингтон, вице-президент Wandera по продукту. «Когда мы начали видеть связь между устройствами iOS и известным доменом вредоносных программ, мы продолжили исследования».

Приложения включают в себя: Commando Metal: Classic Contra , Super Pentron Adventure: Super Hard , классический танк против Super Bomber , Super Adventure of Maritron , игра Roy Adventure Troll , Trap Dungeons: Super Adventure , классическая легенда Bounce , блочная игра , классический бомбардировщик: Super Легенда , Brain It On: Физика Stickman , Игра Bomber: Классический Bomberman , Классический Кирпич — Ретро Блок , Кирпич Альпиниста , и Захватчики Цыпленка Галактики .

По словам исследователей , то, что они видели до сих пор, выглядит относительно мягким — сервер управления и контроля просто помещает список значков в карман рекламного пространства в верхнем правом углу приложения. Когда пользователь открывает игру, сервер сообщает приложению, какие значки и ссылки должны обслуживать пользователя. Однако они увидели, как приложения отправляют данные IP-адреса, а в некоторых случаях и данные о местоположении, обратно на сервер управления и контроля Golduck. TechCrunch проверил их заявления, запустив приложения на чистом iPhone через прокси-сервер, что позволило нам увидеть, куда поступают данные. Исходя из того, что мы увидели, приложение сообщает вредоносному серверу Golduck, какое приложение, версия, тип устройства и IP-адрес устройства, включая количество объявлений, отображаемых на телефоне.

На данный момент, исследователи говорят, что приложения упакованы с рекламой — вероятно, как способ быстро заработать. Но они выразили обеспокоенность по поводу того, что связь между приложением и сервером, который может быть известен как вредоносный, может открыть приложение и устройство для вредоносных команд.

«Сами приложения технически не скомпрометированы; Несмотря на то, что они не содержат вредоносного кода, открываемый ими бэкдор представляет риск для уязвимости, которую наши клиенты не хотят принимать.

«Хакер может легко использовать дополнительное рекламное пространство для отображения ссылки, которая перенаправляет пользователя и вводит его в действие при установке профиля обеспечения или нового сертификата, который в конечном итоге позволяет устанавливать более вредоносное приложение», — сказали исследователи.

Это можно сказать о любой игре или приложении, независимо от производителя устройства или программного обеспечения. Но соединение с известным вредоносным сервером выглядит не очень хорошо. Ковингтон сказал, что компания «наблюдала, как вредоносный контент передавался с сервера», но что это не связано с играми.

Подразумевается, что если сервер отправляет вредоносные данные пользователям Android, то пользователи iPhone могут быть следующими.

TechCrunch отправил список приложений в компанию Sensor Tower, специализирующуюся на данных, которая подсчитала, что 14 приложений были установлены почти миллион раз с момента их выпуска, за исключением повторных загрузок или установок на разных устройствах.

Когда мы пытались связаться с производителями приложений, многие ссылки в App Store указывали на неработающие ссылки или на страницы с шаблонными политиками конфиденциальности, но без контактной информации. Регистрант в домене Golduck, кажется, является поддельным, наряду с другими доменами, связанными с Golduck, которые часто имеют разные имена и адреса электронной почты.

Apple не комментирует, когда достигнуто до публикации. Похоже, что приложения по-прежнему можно загрузить из App Store, но теперь все говорят, что они «в настоящее время недоступны в магазине в США».

У магазинов приложений Apple может быть лучший рэп, чем у Google, который время от времени позволяет вредоносным приложениям проскальзывать через сеть. На самом деле ни один магазин не идеален. Ранее в этом году исследователи безопасности обнаружили в Mac App Store приложение верхнего уровня, которое собирало историю просмотров пользователей без разрешения, а также десятки приложений для iPhone, которые отправляли данные о местоположении пользователей рекламодателям без предварительного явного запроса.

Для обычного пользователя вредоносные приложения остаются самой большой и наиболее распространенной угрозой для мобильных пользователей — даже с заблокированным программным обеспечением устройства и обширной проверкой приложений.

Неудаляемый троян заразил более 45 тысяч Andro >

Новый вид вредоносного программного обеспечения (ПО) для Android заразил более 45 тысяч устройств. Его главная особенность заключается в способности переустанавливаться даже после удаления вручную.

Троян, получивший название xHelper, нацелен в основном на пользователей из Индии, США и России. С момента его первого обнаружения специалистами по кибербезопасности в мае 2020 года он успел попасть в топ-10 самых обнаруживаемых мобильных вредоносов. Как выяснила Symantec, только за последний месяц в среднем ежедневно заражалось 131 устройство, а в течение месяца — 2400.

Эксперты компании подозревают, что сам процесс, возможно, происходит через вредоносное системное приложение, которое постоянно загружает опасное ПО, несмотря на то, что пользователи выполняют сброс настроек и удаляют его вручную. Исследователи MalwareBytes, с другой стороны, считают, что троян распространяется через теневые игровые веб-сайты, которые заставляют ничего не подозревающих юзеров загружать приложения из ненадёжных сторонних источников.

XHelper не создаёт значка или ярлыка на панели запуска домашнего экрана. Единственный индикатор, по которому его можно найти, — это список в разделе информации о приложении настроек заражённого телефона. Отсутствие значка приложения означает, что вредонос не может быть запущен вручную, но он обходит ограничение с помощью внешних триггеров: подключение или отключение устройства от источника питания, перезагрузка, установка или удаление приложения.

По словам специалистов по кибербезопасности, xHelper пока не представляет серьёзной опасности, поскольку он используется для навязчивой всплывающей рекламы и спама уведомлениями о бесплатных играх. Однако в будущем троян может быть использован для установки других вредоносных приложений или удалённого контроля над устройством.

Ранее News.ru рассказал, что WhatsApp, принадлежащий Facebook, подал в суд на израильскую технологическую фирму NSO Group. Американские разработчики утверждают, что посредством их мессенджера компания внедрила вредоносное программное обеспечение (ПО) в более чем 1400 смартфонов.

Самое интересное — в нашем канале Яндекс.Дзен

Опасный Android-зловред распространяется через сторонние магазины приложений

Компания Trend Micro предупреждает о том, что сразу через несколько сторонних магазинов приложений для операционной системы Android распространяется опасная вредоносная программа.

Зловред получил обозначение ANDROIDOS_ LIBSKIN.A. Специалистам удалось выявить почти 1200 пакетов Android-приложений с внедрённым вредоносным кодом. Причём нежелательный компонент присутствует во вполне легитимных программах — играх, различных утилитах и пр.

ANDROIDOS_ LIBSKIN.A распространяется через такие магазины приложений, как Aptoide, Mobogenie, mobile9 и 9apps. Вредоносную программу, сами того не желая, загрузили владельцы Android-устройств из 169 стран по всему миру, включая Россию.


Попав на смартфон или планшет, зловред пытается получить root-доступ. Вредоносная программа способна скачивать другие нежелательные модули, а также собирать информацию о мобильном устройстве и персональные пользовательские данные.

На сегодняшний день наибольшее количество случаев заражения ANDROIDOS_ LIBSKIN.A зафиксировано в Индии — около 35 %. На Индонезию и Филиппины приходится соответственно около 28 % и 14 %. Далее следуют Япония и Россия с немногим более 2 % от общего числа заражений.

Трояны атакуют: как не лишиться денег в Google Play и AppStore

МОСКВА, 3 янв — РИА Новости, Наталья Дембинская. Главный тренд уходящего года среди киберпреступлений, который будет лишь набирать обороты, — взрывной рост числа банковских троянов. Ориентированы они в первую очередь на владельцев Android-устройств. Такая активность вполне объяснима: Android занимает почти 85 процентов рынка мобильных операционных систем и в силу своей открытости гораздо хуже защищен, чем, например, вторая по популярности мобильная операционка iOS. Трояны попадают на гаджеты не только из сомнительных источников — многие из них успешно сидят в официальных магазинах приложений. О том, как вирусы обчищают владельцев смартфонов и как не обнулить свой банковский счет, скачав игры из Google Play, — в материале РИА Новости.

Android под прицелом

Только за 2020-й хакеры украли у владельцев Android-смартфонов более миллиарда рублей, по сравнению с прошлым годом ущерб вырос на 136 процентов. Мобильные устройства для хакеров — привлекательная мишень, ведь антивирусы на них работают не столь эффективно, как на ПК. А с повсеместным распространением мобильного банкинга смартфон фактически стал вторым кошельком.

«Написание вредоносных приложений под мобильные устройства гораздо проще, чем под ПК с учетом всех существующих средств защиты», — объясняет Антон Фишман, директор проектного направления Group-IB, специализирующегося на расследовании киберпреступлений.

С конца декабря пользователей Android атакует Catelites Bot — банковский троян, который загружается на устройство под видом системного приложения, а потом, получив нужные права доступа, меняет иконку на значки почты Gmail, маркета Google Play или браузера Chrome.

При запуске банковского приложения вирус подменяет его на фейковое окно, куда пользователь вводит персональные данные. В итоге они оказываются в руках у мошенников. Вредоносный код нацелен на клиентов более 2000 банков и уже заразил более десяти тысяч гаджетов.

В IB-Group, впрочем, отмечают: этот вирус уже давно обчищает владельцев Android, но «работает» все время под разными названиями. Аналитики подсчитали, что за сутки Android-трояны снимают со счетов россиян порядка трех миллионов рублей. Средняя сумма одного хищения — 11 тысяч.

Фейковый «Сбербанк Онлайн»

В ноябре киберпреступники запустили фейк одного из самых популярных в России приложений мобильного банкинга — «Сбербанк Онлайн». Пострадавшие — снова владельцы Android-платформ.

Фейковое приложение маскируется под оригинал и вводит в заблуждение пользователей, в результате злоумышленники получают данные счетов клиентов.

Как рассказали в Cбербанке, для борьбы с трояном они внедрили в свое приложение антивирус — он выявляет вредоносные программы и блокирует их установку. И дали совет клиентам: скачивать прикладные программы нужно только с официальных ресурсов, следить, к чему они просят доступ, и пользоваться антивирусом.

А что насчет iOS

Эксперты констатируют: «подцепить» вирус, например, кейлоггер, который будет тайно записывать данные авторизации, могут и владельцы Apple, но это гораздо сложнее: сказываются особенности и большая закрытость операционной системы. Поэтому у пользователей iOS особой необходимости в сторонних антивирусах нет, главное — своевременно обновляться.

«Если сравнивать две популярных мобильных платформы — Android и iOS, устройства на базе Android наиболее подвержены атакам различных вирусов и вредоносных программ», — отмечает Наталья Масарская, руководитель отдела развития электронного бизнеса Райффайзенбанка.

Мастер Йода рекомендует:  Как установить шаблон на WordPress

В Group IB добавляют, что iOS-платформа куда более консервативна и все заражения, которые проникают на устройства Apple, быстро блокируются. Впрочем, у хакеров все равно есть несколько дней на то, чтобы заразить какую-то часть гаджета и украсть данные.

Как трояны проникают на устройство

Главный канал распространения мобильных банковских троянов — неофициальные источники приложений. Впрочем, стопроцентной гарантии их отсутствия не даст и официальный магазин, тот же Google Play. Чтобы обойти верификацию магазина, мошенники нередко загружают туда «чистое» приложение, которое не содержит вредоносный код. Такая программа успешно пройдет проверку.

«А уже потом, оказавшись на устройстве пользователя, приложение потребует обновления, которое и будет содержать троян. Или же оно сможет самостоятельно подгрузить на устройство вредоносный код», — рассказал Фишман.

Бывает и такое, что хакеры взламывают приложения сторонних добросовестных разработчиков, которые уже размещены в Google Play, и в них встраивают вредоносный код. Взлом происходит не в самом магазине, а на серверах разработчика, которые имеют доступ к обновлению прикладных программ на Google Play или AppStore.

Расчет здесь на то, что, в отличие от самого приложения, каждое следующее обновление не будет проходить долгой и тщательной проверки в магазине.

Хорошая новость, впрочем, в том, что вероятность скачать легитимную программу из официального магазина, содержащую вредоносный троян, достаточно мала. Гораздо чаще трояны загружаются на устройства при скачивании программ из непроверенных источников и спамерских СМС-рассылок — все это методы социальной инженерии.

Не рутовать смартфон

Заражения трояном можно избежать, если соблюдать ряд несложных правил. Во-первых, в зоне риска все владельцы смартфонов, которые установили рут-права на Android и джейлбрейки на iOS.


«Рутованный» телефон позволяет пользователю получить доступ к файловой системе устройства и шире использовать его возможности. Но есть и обратная сторона: даже при наличии антивируса смартфон фактически лишен защиты: расширенные права в этом случае получают и программы, установленные на устройство.

«Как только вы это делаете, любое приложение, в том числе вредоносное, может запросить и получить права суперъюзера», — предупреждают в Group-IB.

Ссылки от контактов — проверить

Одно из главных правил — не переходить по ссылкам, в которых нет уверенности.

Получив от контакта из телефонной книги СМС с непонятной ссылкой и подписью «посмотри, какая я классная на фотографии», не стоит ее открывать: cначала нужно уточнить у предполагаемого отправителя, действительно ли это присылал он.

Очень часто вредоносные приложения подменяют приложение СМС на мобильном устройстве и делают рассылку со ссылкой на скачивание самого себя по всему списку контактов пользователя.

Смотреть, к чему просят доступ

При установке из Google Play и других магазинов нужно внимательно читать, к чему программа запрашивает доступ. Если к приложению для работы с СМС — сразу же стоит насторожиться. Вообще, смутить должно все, что напрямую не относится к функционалу выбранного приложения. Например, радио уж точно не должно запрашивать доступ к СМС, мессенджерам или мобильному банкингу.

Подменяя собой стандартное приложение для работы с СМС, троян определяет, каким банком пользуется жертва, и начинает тайную рассылку и прием сообщений от банковского кабинета. Под угрозой все пользователи онлайн-банкинга, работающего с СМС-командами.

Исключить подмену СМС-приложения

Цель здесь одна: установка вредоносного трояна, который дальше может действовать по-разному: обращаться к самому мобильному приложению банка и «вытаскивать» оттуда данные карты, либо делать так называемый веб-инжект: когда пользователь вводит в приложении банка номер карты, на которую нужно перевести деньги, троян будет подменять его на свой.

Еще один вариант — троян может самостоятельно зайти в приложение и совершить перевод средств, подменив приложение для отправки СМС, — то есть по сути перехватить второй фактор авторизации, который используют большинство банков, — СМС-код.

В целом же стоит придерживаться так называемой гигиены безопасности: избегать беспорядочных скачиваний по непонятным ссылкам, смотреть, к чему приложение запрашивает доступ, и пользоваться антивирусами для мобильных устройств.

4 простых способа защитить смартфон Android от вредоносного ПО

В магазин Google Play можно загрузить абсолютно любое приложение — независимо от того, как оно выглядит, работает, и содержит ли вредоносный код. Проверка на наличие вирусов осуществляется уж после загрузки и, хотя недавно Google предпринял попытку защитить устройства пользователей, выпустив программу Play Protect, полностью полагаться на нее не стоит.
В арсенале Android есть несколько инструментов безопасности, позволяющих защитить устройства от большинства вредоносных приложений. Те же методы эффективны и для защиты от другого нежелательного ПО. К сожалению, они не исключают возможности скачать деструктивное приложение, однако существенно уменьшает такую вероятность.

Способ 1. Не полагайтесь на Google Play Protect

После многочисленных случаев проникновения вредоносных приложений в магазин Google Play компания Google подключила сервис Google Bouncer, автоматически сканирующий приложения на наличие вирусов и прочего нежелательного кода. После ребрендинга в начале текущего года Google Bouncer вместе с приложением Find My Device объединили в пакет сервисов под названием Google Play Protect.

Нацеленный на решение ряда задач, которые ранее выполнялись отдельными приложениями, Play Protect был призван продемонстрировать разработчикам и пользователям, что Google всерьез занимается проблемами безопасности. Однако устранить проблему Play Protect не удалось.

Согласно данным лаборатории AV-Test, полученным в ноябре 2020 года, продемонстрированный Play Protect уровень выявления вредоносного ПО в режиме реального времени составил всего 66.9%. При этом средний показатель аналогичного ПО был равен 98%.

Результаты тестов антивирусных программ для Android от AV Test (сентябрь, 2020)

При тестировании на способность выявлять новейшие вирусы, появившиеся за последние четыре недели, Play Protect показал результат 79,6% при среднем показателе 98,6%. Таким образом, Play Protect нельзя назвать эффективным антивирусным приложением.

Мы не призываем вас отключить данный сервис, тем более что он уже встроен в устройства Android, да и функция Find My Device вам может пригодиться. Однако рекомендуем дополнить Play Protect другим антивирусным приложением с гораздо более высоким уровнем защиты и минимальным потреблением энергии — Antiy AVL.

Способность Antiy AVL выявлять вирусы в режиме реального времени, а также обнаруживать новейшие угрозы превышает средние показатели и составляет в обоих случаях 100%. Также, по данным AV-Test.org, антивирус оказывает минимальное влияние на расход заряда аккумулятора и скорость работы устройства, и выдает 0% ложноположительных срабатываний.

При первом запуске антивируса рекомендуем провести сканирование приложений смартфона, чтобы убедиться, что на устройстве нет никаких вредоносных программ. После этого по умолчанию запустится автоматическое сканирование в фоновом режиме.

(1) AVL выполняет первоначальное сканирование
(2) Меню настроек AVL


Способ 2. Проверьте разрешения приложений

В Android существует система разрешений для приложений App Permissions. Начиная с версии 6.0 Marshmallow, приложения должны запрашивать доступ к определенным функциям смартфона. Например, приложениям для камеры требуется запрашивать доступ к камере устройства, а приложениям для навигации — к GPS-координатам или другой информации о вашем местоположении.

Поскольку по умолчанию такие разрешения не предоставляются, открыв новое приложение или решив воспользоваться новой функцией, вы увидите серию запросов на разрешения. Если вы нажмете на «Разрешить», приложение будет иметь постоянный доступ к соответствующей функции вашего смартфона.

Приложение для редактирования фото Snapseed запрашивает разрешение на доступ к файлам, хранящимся на смартфоне.

Хотя, по идее, все приложения должны подчиняться правилам App Permissions, на деле так происходит не всегда. Вместо этого разрешения могут запрашиваться «скопом» при установке приложения. Получается, что вы можете разрешить либо все, либо ничего, и, если вы не хотите давать приложению доступ к определенным функциям смартфона, то вообще не сможете его установить.

Кроме того, запрос «скопом» очень легко перепутать с просьбой подтвердить, что вы действительно хотите установить данное приложение. Не заметив подвоха и нажав «Разрешить», вы автоматически предоставите приложению доступ ко всем запрашиваемым им функциям.

Пример приложения, не использующего новую систему разрешений. Все разрешения запрашиваются одновременно при установке приложения.

Даже если приложения действуют согласно новой системе, зачастую они запрашивают разрешения, которые для их функционирования не требуются, что снижает безопасность вашего устройства.

Поэтому будет совсем нелишним периодически проверять разрешения приложений. К счастью, на Android это сделать очень легко — приложения группируются по разрешениям и вам не придется посматривать разрешения каждого приложения отдельно.

Для просмотра разрешений откройте «Настройки», нажав на иконку шестеренки в панели быстрых настроек или выбрав пункт «Настройки» в панели приложений. В строке поиска вверху введите «Конфигурация приложений» или «Разрешения приложений».

Если поиск ничего не нашел (например, на устройствах с прошивкой LG UX), выберите в настройках пункт «Приложения» и нажмите на три вертикальные точки. В открывшемся подменю выберите «Конфигурация приложений», а затем «Разрешения приложений» или просто «Разрешения» (в зависимости от прошивки).

В случае с прошивкой LG UX для доступа к разрешениям приложений требуются дополнительные действия.

Вы увидите список всех разрешений приложений, напротив каждого из которых будет указано количество приложений, имеющих доступ к данной функции смартфона.

Рекомендуем руководствоваться принципом минимальных привилегий, согласно которому приложения должны получать минимальное количества разрешений — не больше, чем требуется для их функционирования.

Допустим, приложение для магазина спортивной одежды и обуви Foot Locker запрашивает доступ к вашему календарю, чтобы добавлять туда события. Если вам не нужна такая функция, отключите разрешение, чтобы приложение не могло собирать ваши личные данные.

Отзыв разрешения на доступ к календарю для приложения Foot Locker.

Минимизировав полномочия приложений, вы защитите себя от компаний, собирающих о вас лишнюю информацию, а также от злоумышленников, которые могут взломать приложение и использовать его для атаки на ваше устройство. Хакеры могут применить и более изощренную тактику, при которой приложение будет работать, как обычно, но при этом, благодаря его разрешениям, они получат доступ к вашим личным данным.

Беспокоиться о том, что, удалив ненужные разрешения, вы нарушите работу приложения, не стоит — такое возможно лишь в случае со старыми приложениями, не использующими новую систему разрешений. Отключив разрешение, откройте приложение. Если разрешение требуется приложению для выполнения его основных функций, оно запросит его снова.

Способ 3. Запретите установку приложений из неизвестных источников

Несмотря на наличие проблемных приложений, Google Play является самым надежным источником для скачивания приложений под Android. Впрочем, Android дает возможность скачивать и сторонние приложения из альтернативных источников. Это, конечно, менее безопасно, поэтому лучше по возможности пользоваться приложениями только из Google Play.

Для контроля над установкой сторонних приложений в Android предусмотрена опция «Неизвестные источники». Возможность устанавливать сторонние приложения существует только в том случае, когда эта опция включена. По умолчанию же данная возможность отключена. Если ранее вы уже включали «Неизвестные источники» (например, для установки программы Pixel’s Dialer или стороннего лаунчера), отключение опции не повлияет на работу уже установленных сторонних приложений, но при этом предотвратит несанкционированную установку вредоносных приложений из неизвестных источников.

Чтобы отключить «Неизвестные источники», зайдите в меню настроек смартфона и выберите пункт «Безопасность» («Безопасность и блокировка экрана», «Защита и безопасность»). Теперь пролистайте меню вниз, найдите опцию «Неизвестные источники» и отключите ее.

В некоторых прошивках Android пункт меню «Безопасность» может быть объединен с другим пунктом, например, «Безопасность и блокировка экрана» (Lock screen and security).

В новых версиях Android (8.0+) пункт «Неизвестные источники» заменен на опцию «Установка неизвестных приложений». С помощью нее можно запретить тому или иному приложению устанавливать другие приложения. Чтобы воспользоваться опцией, пройдите в меню Настройки –> Приложения и уведомления –> Специальный доступ и выберите пункт «Установка неизвестных приложений».

Способ 4. Своевременно устанавливайте обновления

Еще один способ повысить защиту вашего устройства от вредоносного ПО или случайной установки хакерского приложения — это своевременное обновление прошивки смартфона. Чтобы установить все доступные обновления, пройдите в раздел Настройки –> Система –> Обновления системы.


К сожалению, данный способ не всегда эффективен, поскольку мало кто из производителей Android-устройств выпускает ежемесячные обновления. За исключением линейки Pixel и нескольких других, обновления ПО выходят как минимум с двухмесячной задержкой. В любом случае, устанавливать обновления нужно сразу, как только они появляются.

Как правило, обновления прошивки включают в себя не только последние патчи безопасности, но также исправленные ошибки. Так, в последнем обновлении Google устранил уязвимость KRACK, поставившую под угрозу миллионы устройств Android. Если вы не установили данное обновление, ваш смартфон по-прежнему можно взломать, когда вы подключаетесь к Wi-Fi.

И еще несколько рекомендаций «вдогонку».
Прежде чем что-либо устанавливать приложение из Google Play, проводите небольшое расследование. Почитайте отзывы о приложении. Если оно работает не так, как надо, об этом наверняка напишут. Кроме того, обратите внимание на автора приложения.

Лучше если это будет компания, а не частное лицо. Если вы видите приложение с названием Amazon, где в качестве автора прописан некто «Hacker Joe», воздержитесь от его установки.

Избегайте приложений, обладающих слишком обширным функционалом. Ведь не зря существует выражение «слишком хорошо, чтобы быть правдой». Если приложение на самом деле выдающееся, о нем наверняка напишут многие издания.

И, наконец, по возможности, всегда пользуйтесь VPN-подключением. В этом случае ваше соединение с сервером будет защищено, а некоторые VPN-сервисы (например, NordVPN), к тому же, проверяют трафик на наличие вирусов и не позволяют им проникнуть на ваше устройство.

NordVPN и подобные ему VPN-сервисы защищают данные, передающиеся между вашим устройством и VPN-серверами приложения.

Надеемся, что эти советы уберегут ваш смартфон от скачивания вредоносных приложений. Конечно, никакие предосторожности не могут гарантировать, что этого не случится, поэтому будьте начеку и обращайте внимание на любые изменения в работе Android-устройства. Если же ваш девайс уже пострадал от вирусного ПО, расскажите об этом в комментариях.

Отказ от ответственности: Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.

Мастер Йода рекомендует:  JavaScript и GET-параметры Javascript

В Google Play снова обнаружили рекламные приложения, загруженные около 100 000 000 раз

Xakep #246. Учиться, учиться, учиться!

Avast

Эксперты компании Avast предупредили об обнаружении в официальном каталоге Google Play 50 приложений, зараженных вредоносным рекламным ПО. Малварь получила название TsSdk, и зараженные приложения были установлены от 5 000 до 5 000 000 раз, и постоянно демонстрировали пользователям полноэкранные рекламные объявления, а в некоторых случаях предлагали установить дополнительные продукты.

Рекламная малварь связана друг с другом посредством сторонних библиотек на Android, которые обходят ограничения фоновых сервисов Android даже в самых новых версиях операционной системы. Такой обход правил каталога не запрещен, однако Avast относит такие программы к классу нежелательных, так как они увеличивают расход батареи и замедляют устройство пользователя. Программы непрерывно используют базы данных и показывают все больше и больше рекламы пользователям, тем самым нарушая правила Google Play Store.

С помощью платформы apklab.io исследователям удалось выявить две версии TsSdk в Play Store, которые имели в своей структуре один и тот же код. Более старая версия была установлена 3,6 млн раз и ее встраивали в простые игр, а также в фоторедакторы и фитнес-приложения. Больше всего загрузок было обнаружено в Индии, Индонезии, Пакистане, Бангладеше и Непале.

Приложение с первой версией TsSDK

Сразу после установки большинство приложений, содержащих более старые версии TsSdk, работают так, как и заявлено в их описании. Однако на рабочем столе при этом появляются дополнительные ярлыки, пользователю демонстрируется большое количество рекламных объявлений при включении дисплея, а также непосредственно во время использования устройства. В некоторых случаях код приложения может содержать задачу на установку сторонних приложений, информация о которых активно показывается пользователю. Кроме того, на рабочем столе зараженного устройства может появиться ярлык Game Center, который открывает страницу, содержащую ссылки на рекламируемые игры: h5games[.]top.

Приложения, зараженные новой версией TsSdk были установлены около 28 000 000 раз, и это были продукты, связанные с музыкой и финтесом. Немного изменилась и география установок: самыми популярными местами для приложений с рекламой стали Филиппины, Индонезия, Малайзия, Бразилия и Великобритания.

Эту версию отличает более надежная защита кода, так как в нем используется Tencent packer, который достаточно сложно расшифровать аналитикам. Также эта версия малвари отличается от предыдущей в первую очередь тем, что проверяет некоторые факторы перед отображением полноэкранной рекламы. Например, вредонос может срабатывать только в случае, если пользователь установил приложение, нажав на рекламу на Facebook. Рекламный вирус отслеживает это с помощью специальной функции deferred deep linking.

Рекламные объявления показываются жертве только в первые четыре часа после установки приложения, а затем регулярность их появления сильно уменьшается. Так, в первые четыре часа полноэкранная реклама появляется с произвольной периодичностью, когда устройство разблокировано, либо каждые 15 минут в течение первого часа, а далее каждые 30 минут.

Данная форма вредоносного ПО не работает на Android 8.0 и более современных версиях операционной системы в силу изменений в политике безопасности, содержащихся в каждом новом обновлении. Многие приложения, содержащие в себе более старую версию рекламного ПО, были давно замечены в Play Store и удалены компанией Google, как, например, фоторедактор Pro Piczoo, который был установлен более одного миллиона раз.

Check Point

Специалисты компании Check Point, в свою очередь, обнаружили в Google Play шесть приложений, зараженных малварью PreAMo. Данный вредонос имитирует клики живого человека по рекламным баннерам сторонних рекламных агентств (Presage, Admob и Mopub) с помощью функциональности MotionEvent.

В общей сложности эти приложения были загружены более 90 000 000 раз. Самым популярным их них было приложение Selfie Camera, скачанное 57 000 000 раз.

Приложение Кол-во загрузок из Google Play
com.pic.mycamera 57 млн
com.omni.cleaner 48 млн
com.speedbooster.optimizer 24 млн
com.rambooster.totalcleaner 15 млн
com.cooler.smartcooler 12 млн
com.flashlight.torch.screenlight.party 3,4 млн


По сути, PreAMo состоит из трех разных частей, каждая из которых отвечает за работу с конкретным рекламным агентством. Они практически никак не связаны между собой, а в действие их приводят совсем разные триггеры. Однако у этих частей малвари есть и «общий знаменатель» — управляющий сервер res.mnexuscdn[.]com, который используется для передачи статистики и получения новых конфигураций.

Сообщается, что к настоящему моменту инженеры Google уже приняли меры и удалили приложения-кликеры из каталога Google Play.

Двенадцать самых опасных разрешений для приложений на Andro >

Рассмотрим опасности, которые возможны при пользовании смартфоном и приложениями.

Местоположение на основе данных GSM связи

На самом деле, для вредных приложений не требуется определение местоположения с точность до 10 метров, чтобы нанести таргетинговый вред. Важно знать страну, город, район или квартал. Это все желающим приложениям радостно сообщит ближайшая базовая станция сотовой связи.

Местоположение на основе данных GPS

Это разрешение несет такие угрозы безопасности, как и предыдущее, но с повышенной точностью.

Ваше точное местоположение может стать известным злоумышленникам. Но надо отметить, что система Андроид постоянно отслеживает ваше местоположение без разрешений, и использует в своих целях, которые не раскрываются. Поэтому, если вы делаете что-то незаконное в сети, знайте, что никакие анонимайзеры вашу активность не скроют, потому что ваш смартфон для Google видно как на ладони, и этими данными компания охотно поделится с правоохранительными органами по их запросу.

Но все же давать такое разрешение сторонним приложениям и сервисам надо осмотрительно.

Чаще всего разрешение использовать данные GPS трекеры требуют, приложения социальных сетей, мессенджеры и тому подобное.

Состояние связи

Опасность данных о состоянии связи заключается в возможности для некоторых приложений использовать каналы связи, такие как мобильный Интернет, Wi Fi, Bluetooth для передачи или приема вредоносного кода. Также, некоторые вредоносные приложения могут включать, выключать связь без вашего разрешения, принимать или передавать информацию, которую вы не спрашивали, или использовать ваш смартфон как часть бот-сети для рассылки спама или вредоносного кода.

Контроль над связью имеют опять же приложения соцсетей и мессенджеры. Если какие-то из них можно не использовать в публичных местах и сетях, надо это сделать.

Контроль Wi-Fi соединения

Некоторые вредоносные программы могут сканировать вашу Wi-Fi сеть, настройки и потоки данных ради информации и паролей точек доступа. Недавний пример такого вредоносного вмешательства — эксплойт KRACK.

Имея настройки вашей Wi-Fi сети, программы могут перехватывать связь, включать и выключать его без вашего разрешения, передавать и принимать нежелательную информацию, или вредоносный код.

Это разрешение у вас спросят браузеры, мессенджеры, приложения соцсетей и облачных сервисов и файловых хранилищ. Надо иметь самые последние версии этих приложений, чтобы избежать заражения через дыры в безопасности программ.

Доступ к состоянию приложений

Оказывается, знать, какие приложения в данный момент работают, а какие нет, тоже очень полезно для злоумышленников. Потому что в таком случае можно включать или выключать приложения без разрешения пользователя, а также перехватывать данные, которыми приложения пользуются, которые генерируют.

Доступ к такой информации имеют антивирусы, приложения безопасности, различные «очистители», «экономы» заряда батареи, приложения, регулирующих автостарт сервисов. На эти роли нужно выбирать только доверенные приложения, потому что много подобных сервисов имеют рекламные модули, через которые могут выполняться вредоносные эксплойты.

Полный доступ к Интернету

Такой доступ имеют приложения браузеры, игры, мессенджеры и приложения соцсетей, а также очень много других, которым Интернет может и не нужен, но они требуют доступа к сети без ограничений. Если хотя бы один из них окажется захваченным злоумышленниками или вредоносным кодом, он сможет включать или выключать Интернет, принимать или передавать вирусы, или использовать смартфон владельца как бота. К тому же, полный доступ к глобальной сети открывает ящик Пандоры, потому что оттуда можно по запросу скачать и использовать как.

Чтобы снизить риск надо пользоваться доверенными приложениями, а всем остальным запретить доступ к Интернету. И надо избегать публичных бесплатных Wi-Fi спотов.

Доступ к состоянию смартфона и его идентификации

Многие приложения требуют доступ к информации о смартфоне, его конфигурацию, IMEI, серийный номер, номер телефона и тому подобное. Это лицензионные игры, щ0 имеют защиту от копирования и подделки, системы платежей, приложения банков и прочее.


Подобная информация о смартфоне, которая попала в руки злоумышленников, может привести к серьезным проблемам: замены IMEI, или его копирования, кражи личности, использование данных для совершения преступлений в сфере онлайн-финансов.

Предоставляя права доступа к идентификации смартфона приложениям, надо несколько раз взвесить, и, конечно, предоставлять его только доверенным приложениям.

Доступ к автозапуску системы

Сейчас вопрос автозапуска приложений можно решить и без рут прав. Поэтому есть много софта, который предлагает вам сэкономить заряд батареи, сделать запуск системы быстрым и все такое. Вместе с установкой, такие приложения запрашивают разрешение редактировать некоторые файлы системы. Если приложение управляется злоумышленником, то он отреагирует на эти файлы соответствующим образом: позволит запускать вредоносный код, запретит запускать антивирус и прочее.

Поэтому надо осмотрительно выбирать твикеры системы и отдавать предпочтение изделиям известных и доверенных брендов.

Управление вибрацией

Оказывается, даже вибрация может стать оружием в руках шпионов и воров. Доступ к вибрации спрашивают игры и коммуникационные приложения. Но злоумышленники, получив этот доступ, могут выключать вибрацию и перехватывать сообщения до того, как их увидит владелец смартфона, который не получил вовремя предупреждение о том, что сообщение, или уведомление поступило.

Управление временем «сна» смартфона

Некоторые приложения, например, аудио-видео-плееры, игры, браузеры не дают смартфону «уснуть» и в это время его процессор работает в рабочем режиме. но представьте, что может произойти, если в это время в фоне тихо работает вредоносная программа, которая рассылает спам, атакует Интернет-ресурсы, или майнит криптовалюту, а вы об этом даже не догадываетесь и жалуетесь на то, что очень почему быстро садится батарея.

Вредоносные приложения, которые получили доступ к режиму «сна» могут часами поддерживать непрерывную работу вычислительных мощностей вашего смартфона для целей злоумышленника. Поэтому надо проверять список приложений, имеющих такое разрешение.

Доступ к SD карте

Сейчас, в мире распределенных вычислений и облачных хранилищ, ваш смартфон может стать хранилищем украденных или нелегальных данных. Размеры карт памяти сейчас позволяют незаметно спрятать на них архив годовой работы отдела ЦРУ незаметно для владельца. Гигабайтом больше, гигабайтом меньше — какая разница, кто за этим следит?

Доступ к карте памяти традиционно имеют приложения Камера, Галерея, Документы, Офис, Файловый менеджер, Музыка, Видео, браузеры, мессенджеры, приложения соцсетей. Поэтому перехватить работу какого-либо из них для воров и шпионов не очень сложно. Они смогут читать ваши файлы, удалять их, а также хранить на карточке свои. Смартфон — это не настольный компьютер, винчестер у него не шумит, поэтому процесс записи или считывания данных происходит незаметно для владельца.

Поэтому надо регулярно делать бэкап данных на SD-карте, раз в два-три месяца ее форматировать, хотя бы для того, чтобы выявить возможную неисправность и сохранить свои файлы. К тому же, надо просматривать список приложений, что имеют к ней доступ.

Доступ к контактам и SMS-сообщениям

Контакты — это то, за что борются все: социальные сети, онлайн-магазины, рекламные агентства и злоумышленники.

Неосторожное разрешение доступа к Контактам — и завтра ваш телефон будет разрываться от «холодных» звонков продавцов, менеджеров и агентов по недвижимости, опросов и еще много чего. Поскольку приложение Контакты очень плотно связан с приложением Уведомления, вместе с контактами воры могут захватить контроль и над SMS. Как и другая информация, SMS-сообщения уходят со смартфона тихо, не беспокоя владельца. И вместе с тысячами других, присланных из захваченных смартфонов, создают лавину спама, за который формально должны отвечать владельцы номеров, из которых сообщение отправлено.

Доступ к Контактам нуждаются мессенджеры, приложения соцсетей — это логично. Но когда у вас спрашивает разрешение на доступ к контактам фитнес-трекер или фотогалерея, надо задуматься.

И вообще, контакты надо актуализировать по крайней мере раз в полгода. Ведь на самом деле вы общаетесь не больше, чем с 20-50 людьми. Зачем вам 100500 контактов людей, которых вы даже не знаете? Меньше контактов — меньше спама от вас получится.

Как уменьшить опасность?

Всевозможные антивирусы не успевают за преступными разработками. Это мы видели недавно на примере того же KRACK, который до сих пор распространяется по миру. Поэтому борьба с вредоносными программами — это дело внимательного и сознательного юзера.

В четырёх магазинах Andro > 13 февраля 2020 11:40

Четыре сторонних магазина приложений на платформе Android содержат в себе программы с вредоносными компонентами, которые могут производить рут устройства, сообщают специалисты компании Trend Micro. Они обнаружили 1163 пакетов Android-приложений с вредоносным компонент ANDROIDOS_ LIBSKIN.A. Этот вредоносный код способен получить максимальный доступ и привилегии на устройствах пользователей.

Приложения с этим компонентом из магазинов Aptoide, Mobogenie, mobile9 и 9apps скачали пользователи из 169 стран только в период между 29 январём и 1 февралём. Исследователи уже связались с магазинами и информировали их представителей об угрозах.

Эксперты по сетевой безопасности давно советуют избегать сторонних магазинов мобильных приложений, где контроль и системы безопасности могут быть не на столь высоком уровне, как в официальном магазине Google Play. Впрочем, иногда вредоносные программы проникают и в него.

Вредоносный компонент входит в состав доверенных приложений, вроде игр или программ потокового вещания музыки, и способен устанавливать на устройство другие приложения без ведома пользователя. Они могут отображать рекламу и собирать персональные данные пользователей, такие как идентификационный номер устройства, данные о сети и других запущенные в системе приложениях и т.д.

Добавить комментарий