Небезпечні додатки для смартфонів, які потрібно видалити

Додатки для смартфонів можуть бути небезпечними, так як можуть “продавати” геолокацію, “красти” логіни та паролі для доступу до Facebook, відтворювати не контекстну рекламу. 

Наприкінці липня 2020 року в Google Play було виявлено 29 небезпечних мобільних додатків для Android. Їх завантажили понад 3.5 млн разів. Головна мета таких додатків – показ не контекстної реклами з різним підтекстом. Усі вказані додатки пов’язані з обробкою фото. Цікаво те, що іконки встановлених застосунків, одразу після перезавантаження смартфона, зникають з робочих столів, що ускладнює їх пошук у списку програм.

Згідно зі звітом групи дослідників аналізу загроз White Ops Satori, ці додатки генерували підозріло великі обсяги рекламного трафіку. Команда дослідників назвала цю групу застосунків Chartreuse Blur, адже у назві більшості з додатків є слово “Blur”. Крім того, ці фоторедактори дозволяють користувачам розмивати ділянки на зображеннях. 

“Гра у хованки” із встановленими додатками 

Коли значок додатка зникає з робочого стола смартфона на операційній системі Android, знайти його в списку всіх програм буває нелегко. Це призводить до деяких труднощів, як от неможливості видалити додаток. Адже користувач вважає, що даного застосунку вже немає на його смартфоні. Тож додатки такого характеру є небезпечними. І завдяки розслідуванню команди Satori, один з таких застосунків – Square Photo Blur – вилучили з магазину Google Play.

В ході дослідження також було виявлено, що вказаний додаток відповідає “ознакам” шкідливих програм: після встановлення починає “атакувати” телефон рекламою нізвідки. Це явище можна назвати “показом реклами поза контекстом”. 

Іншою відмінною рисою даної групи додатків є явно вигадані англомовні імена розробників. Наприклад, розробник Square Photo Blur в Google Play – Томас Мері.

Опасные приложения для смартфонов Android

Три рівні завантаження додатків

За спостереженнями дослідників, такі програми зазвичай проходять трирівневу еволюцію завантаження. На перших двох етапах додаток (як і код) виглядає звичайно і не несе ніякої загрози, але вже на третьому етапі активуються шкідливі прояви. 

На першому етапі додаток встановлюється за допомогою пакувальника Qihoo, що саме по собі не викликає підозр. Він також використовує додаток-заглушку або заглушки, які зазвичай використовуються розробниками в якості замінника для ще не до кінця розробленого коду – ніби “для тестування”. Далі додаток переходить на другий етап, де він використовується в якості оболонки для іншої програми Blur, яка з’являється після розпакування Square Photo Blur. Ця програма також не робить нічого поганого. Зловмисники створили такий процес, щоб змусити користувачів повірити в те, що вони завантажили законний додаток Square Photo Blur.

Лише на третьому етапі додаток стає шкідливим. Саме на цьому етапі шкідливий код генерує рекламні оголошення. За словами дослідників, код, присутній в додатку, може показувати рекламу кожен раз, коли користувач розблоковує екран, починає заряджати телефон або перемикається з стільникових даних на Wi-Fi і навпаки.

І справді, команда Satori виявила фрагмент коду, відповідальний за рекламу на VirusTotal (VT), додавши, що ці образи, очевидно, є невеликими варіаціями того ж базового коду з поступовими змінами. Це, ймовірно, допомагає уникнути виявлення “шкоди” антивірусними програмами, які встановлені у користувача на смартфоні.

Після повного першого встановлення, при натисканні на іконку програми Square Photo Blur на тестовому пристрої було виявлено, що це, по суті, звичайна оболонка додатку, якої достатньо для того, щоб пройти перевірку Play Store. Команда Satori додала список шкідливих додатків до звіту і рекомендувала всім, хто ними користується, негайно видалити ці застосунки. Додатки вже були видалені з магазину Google Play, проте користувачі все ще використовують їх.

Список шкідливих додатків з групи Chartreuse Blur

Додаток PKG Name Версія Кількість встановлень Автор/розробник
Auto Picture Cut com.auto.picture.cut.background.eraser.tool 4.0.0 100 000+ mecharcfa(at)gmail.com
Color Call Flash com.color.call.flash.tools 2.0.0 50 000+ Seay Elizabeth
Square Photo Blur com.jack.square.photo.blur.image 2.0.5 500 000+ Thomas Mary
Square Blur Photo com.jobfun.square.photo.blur.image 7.0.0 500 000+ Ward Nadine
Magic Call Flash com.magic.call.flash.tools 2.0.0 50 000+ Robinson Yolanda
Easy Blur com.mary.super.photo.blur.tool 6.0.0 100 000+ Chu Erin
Image Blur com.mclain.photo.blur.editor.background 2.0.5 100 000+ Myers Jason
Auto Photo Blur com.paige.photo.blur.background 6.0.0 100 000+ Taylor Zelma
Photo Blur com.scorp.photo.blur.background 2.0.3 500 000+ Swindell Eddie
Photo Blur Master com.scott.scorp.photo.blur.background 8.0.0 100 000+ Myers Jesse
Super Call Screen com.super.call.screen.tools 2.0.0 100 000+ O’Connor Amy
Square Blur Master com.robert.square.photo.blur.image 6.0.0 100 000+ Gledhill Janice
Square Blur com.craig.square.photo.blur.image 5.0.0 50 000+ Johnson Melanie
Smart Blur Photo com.james.smart.blur.photo.editor.tool 2.0.0 500 000+ Robinson Yolanda
Smart Photo Blur com.james.smart.photo.blur.editor.tool 4.0.0 500 000+ Tammy Roush
Super Call Flash com.super.call.screen.tools 2.0.0 100 000+ Kirk Brian
Smart Call Flash com.smart.call.flash.tools 2.0.0 50 000+ Davis Betty
Blur Photo Editor com.sixgod.photo.editor.blur.image.tool 2.0.8 5 000+ Addison Goldie
Blur Image com.fancy.photo.editor.blur.image.tool 2.0.6 10 000+ Alvord Columbus

Додатки, що продають дані користувача рекламодавцям

На початку 2020 року портал VPNpro попередив власників смартфонів на Android про 24 потенційно небезпечні додатки, які можуть стежити за геолокацією користувача з метою продажу цих даних рекламодавцям. Кількість скачувань становила близько 382 млн, тому наполегливо рекомендуємо перевірити свій смартфон на наявність встановлених додатків зі списку нижче та їх безпечність.

Цікаво й те, що всі 24 додатки, які можуть стежити за геолокацією, пов’язані з великою китайською компанією – Shenzhen HAWK, яка є частиною корпорації TLC Corporation (пов’язана з державою). Ці додатки “просять” у власників занадто багато дозволів, які їм не потрібні для нормальної роботи. Наприклад, ігри, диктофони і програми очищення смартфона просять дозволити їм здійснювати дзвінки, робити фотографії, знімати відео і записувати аудіо. Що дуже дивно і підозріло. Тому рекомендуємо звертати увагу на необхідні програмам дозволи перед їх встановленням.

Раніше Shenzhen HAWK вже звинувачували в поширенні шкідливих програм. Ось список програм, які на думку VPNpro є потенційно небезпечними. Ймовірно, вони збирають велику кількість даних користувачів і продають їх третім особам без відома і згоди користувачів:

Sound Recorder Super Cleaner Virus Cleaner 2019 File Manager
Joy Launcher Turbo Browser Weather Forecast Candy Selfie Camera
Free VPN Hi VPN Candy Gallery Calendar Lite
Super Battery Hi Security 2019 Net Master Puzzle Box
Private Browser Hi VPN Pro World Zoo Word Crossy
Soccer Pinball Dig It Laser Break Music Roam
Word Crush

Мета створення шкідливих додатків

Чому розробники додатків йдуть на такі ризики – створюють і публікують небезпечні програми, які незабаром можуть бути викриті в порушеннях і видалені з Google Play? Все просто, це бізнес, і досить вигідний. В середньому на ринку рекламодавці готові платити $4 за 1000 користувачів в місяць, отримуючи доступ до їх геолокації, яка цінується найбільше – вона дозволяє визначити місце розташування не тільки з мінімальною похибкою в кілька метрів, а й навіть видає поверх розташування у великому будинку або ТРЦ.

Очевидно – за це готові платити. А, якщо компанія має не 1000, а 1 млн користувачів – то це вже $4000 у місяць, ну а 100 млн – $400 000 у місяць. Не складно порахувати, що розташування додатку в магазині Google Play 3 місяці при кількості 100 млн встановлень принесе розробникам $1.2 млн. З таким бюджетом розробляти програми можна нон-стоп, щоразу замінюючи видалені на нові. Більше того, дані можуть бути перепродані не одному рекламодавцю, а 2-3, або й десяткам і сотням. Отже, суми заробітку будуть ще більші. На момент написання статті, всі ці додатки вже вилучені з Google Play, проте вони все ще можуть бути встановлені на смартфонах у користувачів.

На початку липня 2020 року компанія Evina, що спеціалізується на кібербезпеці, виявила в Google Play 25 додатків, які викрадали дані для входу в облікові записи Facebook. Вони не намагалися продавати геолокацію або показувати рекламу, вони просто крали логіни і паролі доступу до аккаунтів Facebook.

Додатки, що викрадають дані для входу в Facebook

Небезпечними можуть бути додатки з абсолютно різних категорій: карткові ігри, файлові менеджери, лічильники кроків, ліхтарики чи інші. Всі ці програми були встановлені більше 2 млн разів. І всі вони містили один і той самий шкідливий код, який під час запуску програми Facebook відкривав користувачеві підроблену сторінку, де користувач вводив логін і пароль, які далі відправлялися кіберзлочинцям з метою подальшого використання акаунтів в своїх цілях або перепродажу конфіденційних даних в Dark Net. Тому рекомендуємо встановити двофакторну або багатофакторну аутентифікацію для входу в Facebook. На даний момент всі ці небезпечні програми для смартфонів Android також видалені з Google Play, але все ще працюють на багатьох смартфонах – вказується в повідомленні Phone Arena. Ось список програм, які можуть викрадати персональні й конфіденційні дані, пов’язані з соціальною мережею Facebook:

Super Wallpapers Flashlight Video Maker Super Flashlight Synthetic Z
Padenatef Color Wallpapers Solitaire Game File Manager
Wallpaper Level Pedometer Accurate Scanning Of QR Code Composite Z
Contour Level Wallpaper Powerfull Plashlight Classic Card Game Screenshot Capture
iPlayer & iWallpaper Super Bright Flashlight Junk File Cleaning Daily Horoscope Wallpapers
Wuxia Reader Plus Weather Anime Live Wallpaper iHealth Step Counter

5 помилок користувачів, які можуть призвести до небезпечних наслідків

– не видаляти з смартфона невикористовувані додатки;

– залишати постійно увімкненими Bluetooth та NFC;

– забувати вчасно оновлювати операційну систему Android;

– не перевіряти доступи, надані додаткам при встановленні; 

– встановлювати додатки, завантажені від сторонніх розробників не на платформі Google Play.

Отже, будьте пильними, не забувайте про особисту кібербезпеку та захист персональних й конфіденційних даних.

Сподобалась стаття?
Розкажіть про неї своїм друзям