В Google Play нашли приложения с вирусами, которые установили суммарно 19 миллионов человек

Александр Гайдамашко

Основные тезисы

Специалисты из Zscaler ThreatLabs обнаружили 77 вредоносных программ в Google Play, которые суммарно загрузили 19 миллионов раз.
Большинство из них содержали рекламные компоненты (adware) и трояны Joker и Harly.
Отдельное внимание специалисты уделили банковскому трояну Anatsa, также известному как TeaBot.

Опасные приложения для Android удалены из Google Play - как себя защитить

Угроза в вашем смартфоне: 77 вредоносных программ нашли в Google Play / Unsplash

Пользователи Android оказались под угрозой из-за вредоносных программ, которые маскировались под полезные инструменты в официальном магазине Google Play. Недавнее исследование выявило масштабную кампанию по распространению опасного программного обеспечения, что поразило миллионы устройств по всему миру и заставило Google принять срочные меры.

Какие угрозы скрывались в приложениях?

Специалисты по кибербезопасности из команды Zscaler ThreatLabs обнаружили и проанализировали 77 вредоносных программ, которые суммарно были загружены более 19 миллионов раз. Хотя все они уже удалены из официального магазина, угроза для инфицированных пользователей остается. Исследование показало, что злоумышленники использовали несколько видов вредоносного ПО для достижения своих целей, пишет 24 Канал.

Большинство обнаруженных приложений, более 66%, содержали рекламные компоненты (adware), которые агрессивно показывают нежелательную рекламу.
Однако значительно более серьезную опасность представляли другие типы вирусов. Почти в четверти случаев было обнаружено троян Joker. Попав на устройство, он получает возможность читать и отправлять SMS, делать снимки экрана, совершать звонки, похищать списки контактов и информацию об устройстве. Кроме того, Joker может тайно подписывать пользователей на платные премиум-сервисы, что приводит к финансовым потерям.
Исследователи также идентифицировали вариант этого трояна под названием Harly. Его особенность заключается в том, что вредоносный код глубоко скрыт внутри вполне легитимных на вид программ, таких как игры, обои, фонарики или фоторедакторы. Это затрудняет обнаружение вируса при проверке приложений перед публикацией в Google Play.
Другой категорией угроз стал так называемый maskware – программы, маскирующиеся под невинные инструменты и работающие так, как заявлено в описании. Однако в фоновом режиме они выполняют вредоносные действия: похищают учетные данные, банковскую информацию, данные о местонахождении и SMS-сообщения. Также их могут использовать для доставки на устройство других вирусов.
Отдельное внимание специалисты уделили банковскому трояну Anatsa, также известному как TeaBot. Его последняя версия значительно расширила свои возможности. Если раньше он был нацелен на 650 банковских и криптовалютных приложений, то теперь их количество возросло до 831. Для распространения злоумышленники использовали программу-приманку под названием "Document Reader – File Manager". Сама программа не содержала вируса, но после установки отдельно загружала вредоносный компонент Anatsa, что позволяло обходить проверку кода Google.

Троян Anatsa постоянно эволюционирует. Он научился использовать поврежденные файлы APK для усложнения анализа, шифровать свои компоненты и выявлять попытки запуска в эмуляторах. Злоупотребляя разрешениями на доступность в Android, Anatsa может самостоятельно предоставлять себе расширенные права в системе. Вирус также получил модуль клавиатурного шпиона (keylogger) для перехвата любой вводимой информации,, и расширил географию атак, добавив к целям пользователей из Германии и Южной Кореи.

Чаще всего злоумышленники маскировали свои программы под инструменты для персонализации и различные утилиты – на них пришлось более 50% всех случаев. Также в категорию высокого риска попали развлекательные программы и приложения для фотографий и дизайна.

Компания Google оперативно отреагировала на отчет Zscaler, удалив все 77 программ из своего магазина. Пользователям Android советуют убедиться, что на их устройствах активна служба Play Protect, которая помогает выявлять и удалять вредоносное ПО.

Как минимизировать риски?

Чтобы уменьшить вероятность заражения вредоносным программным обеспечением, следуйте нескольким простым советам:

Доверяйте только проверенным издателям. Не стоит устанавливать на смартфон все подряд. Исследуйте разработчика, проверьте о нем информацию. Известные компании с хорошей репутацией обычно имеют сайт и другие программы в магазине. Остерегайтесь разработчиков со странными названиями или без истории.
Анализируйте отзывы и оценки. Не ограничивайтесь только общей оценкой. Прочитайте как положительные, так и отрицательные отзывы. Ищите жалобы на чрезмерную рекламу, странное поведение приложения, или запросы на ненужные разрешения. Большое количество однотипных положительных отзывов может быть признаком накрутки.
Проверяйте количество загрузок. Если приложение загрузили лишь несколько человек – это причина заподозрить мошенничество. Приложения с миллионами загрузок являются более надежными. Это не гарантия безопасности, но свидетельствует о популярности и доверии со стороны большого количества пользователей.
Внимательно изучите страницу приложения. Официальные и качественные приложения обычно имеют профессиональное описание, качественные скриншоты и иконку. Грамматические ошибки, плохое качество изображений или нечеткое описание могут быть тревожными сигналами.
Остерегайтесь клонов. Злоумышленники часто создают копии популярных приложений, меняя лишь мелкие детали в названии или иконке. Всегда убеждайтесь, что загружаете официальную версию от настоящего разработчика. Это, опять же, можно увидеть по количеству оценок и загрузок. Если их слишком мало, тогда это клон.
Если у той или иной программы или функции в приложении есть аналог от более известной компании, которую вы уже знаете, лучше установите программу от нее.
Контролируйте разрешения. Это один из важнейших пунктов. Перед установкой (или во время первого запуска) программа запрашивает доступ к различным функциям вашего устройства. Всегда анализируйте, действительно ли приложению нужны эти разрешения. Например, простой калькулятор не требует доступа к вашим контактам, камеры или микрофона. Современные версии Android позволяют управлять разрешениями для каждого приложения отдельно в настройках системы.
Включите Google Play Protect. Это встроенная система безопасности Android, которая сканирует приложения в Google Play перед загрузкой, а также периодически проверяет ваше устройство на наличие вредоносных программ. Убедитесь, что эта функция активирована в настройках Google Play.
Своевременно обновляйте Android и приложения. Обновления операционной системы и программ часто содержат исправления безопасности, которые закрывают уязвимости, которые могут быть использованы злоумышленниками.
Используйте антивирусное программное обеспечение от сторонних компаний, однако выбирайте известных разработчиков, а не сомнительные и малоизвестные программы, которые выдают себя за антивирусы. Это будет дополнительным уровнем защиты, который будет сканировать новые файлы и программы.
Избегайте установки из неизвестных источников. Старайтесь загружать приложения исключительно из Google Play. Установка файлов .apk со сторонних сайтов значительно повышает риск заражения устройства.
Будьте скептически настроенными. Если предложение или функция приложения звучит слишком хорошо, чтобы быть правдой (например, бесплатный доступ к платному сервису), вероятно, это ловушка.