У Google Play знайшли програми з вірусами, які встановили сумарно 19 мільйонів людей

Олександр Гайдамашко

Основні тези

Фахівці з Zscaler ThreatLabs виявили 77 шкідливих програм у Google Play, які сумарно завантажили 19 мільйонів разів.
Більшість з них містили рекламні компоненти (adware) та трояни Joker і Harly.
Окрему увагу фахівці приділили банківському трояну Anatsa, також відомому як TeaBot.

Небезпечні додатки для Android видалені з Google Play - як себе захистити

Загроза у вашому смартфоні: 77 шкідливих програм знайшли у Google Play / Unsplash

Користувачі Android опинилися під загрозою через шкідливі програми, що маскувалися під корисні інструменти в офіційному магазині Google Play. Нещодавнє дослідження виявило масштабну кампанію з поширення небезпечного програмного забезпечення, що вразило мільйони пристроїв по всьому світу та змусило Google вжити термінових заходів.

Які загрози ховалися в додатках?

Фахівці з кібербезпеки з команди Zscaler ThreatLabs виявили та проаналізували 77 шкідливих програм, які сумарно були завантажені понад 19 мільйонів разів. Хоча всі вони вже видалені з офіційного магазину, загроза для інфікованих користувачів залишається. Дослідження показало, що зловмисники використовували кілька видів шкідливого ПЗ для досягнення своїх цілей, пише 24 Канал.

Дивіться також Видаліть негайно: дослідники знайшли небезпечне розширення для Chrome, яке знімає ваш екран

Більшість виявлених додатків, понад 66%, містили рекламні компоненти (adware), які агресивно показують небажану рекламу.
Проте значно серйознішу небезпеку становили інші типи вірусів. Майже в чверті випадків було виявлено троян Joker. Потрапивши на пристрій, він отримує можливість читати та надсилати SMS, робити знімки екрана, здійснювати дзвінки, викрадати списки контактів та інформацію про пристрій. Крім того, Joker може таємно підписувати користувачів на платні преміум-сервіси, що призводить до фінансових втрат.
Дослідники також ідентифікували варіант цього трояна під назвою Harly. Його особливість полягає в тому, що шкідливий код глибоко прихований усередині цілком легітимних на вигляд програм, таких як ігри, шпалери, ліхтарики чи фоторедактори. Це ускладнює виявлення вірусу під час перевірки додатків перед публікацією в Google Play.
Іншою категорією загроз став так званий maskware – програми, що маскуються під невинні інструменти та працюють так, як заявлено в описі. Однак у фоновому режимі вони виконують шкідливі дії: викрадають облікові дані, банківську інформацію, дані про місцезнаходження та SMS-повідомлення. Також їх можуть використовувати для доставки на пристрій інших вірусів.
Окрему увагу фахівці приділили банківському трояну Anatsa, також відомому як TeaBot. Його остання версія значно розширила свої можливості. Якщо раніше він був націлений на 650 банківських і криптовалютних додатків, то тепер їхня кількість зросла до 831. Для поширення зловмисники використовували програму-приманку під назвою "Document Reader – File Manager". Сама програма не містила вірусу, але після встановлення окремо завантажувала шкідливий компонент Anatsa, що дозволяло обходити перевірку коду Google.

Троян Anatsa постійно еволюціонує. Він навчився використовувати пошкоджені файли APK для ускладнення аналізу, шифрувати свої компоненти та виявляти спроби запуску в емуляторах. Зловживаючи дозволами на доступність в Android, Anatsa може самостійно надавати собі розширені права в системі. Вірус також отримав модуль клавіатурного шпигуна (keylogger) для перехоплення будь-якої інформації, що вводиться, та розширив географію атак, додавши до цілей користувачів з Німеччини та Південної Кореї.

Найчастіше зловмисники маскували свої програми під інструменти для персоналізації та різноманітні утиліти – на них припало понад 50% усіх випадків. Також до категорії високого ризику потрапили розважальні програми та додатки для фотографій та дизайну.

Компанія Google оперативно відреагувала на звіт Zscaler, видаливши всі 77 програм зі свого магазину. Користувачам Android радять переконатися, що на їхніх пристроях активна служба Play Protect, яка допомагає виявляти та видаляти шкідливе ПЗ.

Як мінімізувати ризики?

Щоб зменшити ймовірність зараження шкідливим програмним забезпеченням, дотримуйтесь кількох простих порад:

Довіряйте лише перевіреним видавцям. Не варто встановлювати на смартфон усе підряд. Дослідіть розробника, перевірте про нього інформацію. Відомі компанії з хорошою репутацією зазвичай мають сайт та інші програми в магазині. Остерігайтеся розробників з дивними назвами або без історії.
Аналізуйте відгуки та оцінки. Не обмежуйтесь лише загальною оцінкою. Прочитайте як позитивні, так і негативні відгуки. Шукайте скарги на надмірну рекламу, дивну поведінку додатка, або запити на непотрібні дозволи. Велика кількість однотипних позитивних відгуків може бути ознакою накрутки.
Перевіряйте кількість завантажень. Якщо застосунок завантажили лише кілька людей – це причина запідозрити шахрайство. Додатки з мільйонами завантажень є більш надійними. Це не гарантія безпеки, але свідчить про популярність та довіру з боку великої кількості користувачів.
Уважно вивчіть сторінку додатка. Офіційні та якісні програми зазвичай мають професійний опис, якісні скріншоти та іконку. Граматичні помилки, погана якість зображень або нечіткий опис можуть бути тривожними сигналами.
Остерігайтеся клонів. Зловмисники часто створюють копії популярних додатків, змінюючи лише дрібні деталі в назві чи іконці. Завжди переконуйтеся, що завантажуєте офіційну версію від справжнього розробника. Це, знову ж таки, можна побачити за кількістю оцінок та завантажень. Якщо їх надто мало, тоді це клон.
Якщо у тієї чи іншої програми чи функції в додатку є аналог від більш відомої компанії, яку ви вже знаєте, краще встановіть програму від неї.
Контролюйте дозволи. Це один з найважливіших пунктів. Перед встановленням (або під час першого запуску) програма запитує доступ до різних функцій вашого пристрою. Завжди аналізуйте, чи дійсно додатку потрібні ці дозволи. Наприклад, простий калькулятор не потребує доступу до ваших контактів, камери чи мікрофона. Сучасні версії Android дозволяють керувати дозволами для кожного додатка окремо в налаштуваннях системи.
Увімкніть Google Play Protect. Це вбудована система безпеки Android, яка сканує додатки в Google Play перед завантаженням, а також періодично перевіряє ваш пристрій на наявність шкідливих програм. Переконайтесь, що ця функція активована у налаштуваннях Google Play.
Своєчасно оновлюйте Android і додатки. Оновлення операційної системи та програм часто містять виправлення безпеки, які закривають вразливості, що можуть бути використані зловмисниками.
Використовуйте антивірусне програмне забезпечення від сторонніх компаній, однак обирайте відомих розробників, а не сумнівні та маловідомі програми, які видають себе за антивіруси. Це буде додатковим рівнем захисту, який скануватиме нові файли та програми.
Уникайте встановлення з невідомих джерел. Намагайтеся завантажувати додатки виключно з Google Play. Встановлення файлів .apk зі сторонніх сайтів значно підвищує ризик зараження пристрою.
Будьте скептичними. Якщо пропозиція або функція додатка звучить занадто добре, щоб бути правдою (наприклад, безкоштовний доступ до платного сервісу), ймовірно, це пастка.