Додатки для смартфонів можуть бути небезпечними, так як можуть “продавати” геолокацію, “красти” логіни та паролі для доступу до Facebook, відтворювати не контекстну рекламу.
Наприкінці липня 2020 року в Google Play було виявлено 29 небезпечних мобільних додатків для Android. Їх завантажили понад 3.5 млн разів. Головна мета таких додатків – показ не контекстної реклами з різним підтекстом. Усі вказані додатки пов’язані з обробкою фото. Цікаво те, що іконки встановлених застосунків, одразу після перезавантаження смартфона, зникають з робочих столів, що ускладнює їх пошук у списку програм.
Згідно зі звітом групи дослідників аналізу загроз White Ops Satori, ці додатки генерували підозріло великі обсяги рекламного трафіку. Команда дослідників назвала цю групу застосунків Chartreuse Blur, адже у назві більшості з додатків є слово “Blur”. Крім того, ці фоторедактори дозволяють користувачам розмивати ділянки на зображеннях.
“Гра у хованки” із встановленими додатками
Коли значок додатка зникає з робочого стола смартфона на операційній системі Android, знайти його в списку всіх програм буває нелегко. Це призводить до деяких труднощів, як от неможливості видалити додаток. Адже користувач вважає, що даного застосунку вже немає на його смартфоні. Тож додатки такого характеру є небезпечними. І завдяки розслідуванню команди Satori, один з таких застосунків – Square Photo Blur – вилучили з магазину Google Play.
В ході дослідження також було виявлено, що вказаний додаток відповідає “ознакам” шкідливих програм: після встановлення починає “атакувати” телефон рекламою нізвідки. Це явище можна назвати “показом реклами поза контекстом”.
Іншою відмінною рисою даної групи додатків є явно вигадані англомовні імена розробників. Наприклад, розробник Square Photo Blur в Google Play – Томас Мері.
Три рівні завантаження додатків
За спостереженнями дослідників, такі програми зазвичай проходять трирівневу еволюцію завантаження. На перших двох етапах додаток (як і код) виглядає звичайно і не несе ніякої загрози, але вже на третьому етапі активуються шкідливі прояви.
На першому етапі додаток встановлюється за допомогою пакувальника Qihoo, що саме по собі не викликає підозр. Він також використовує додаток-заглушку або заглушки, які зазвичай використовуються розробниками в якості замінника для ще не до кінця розробленого коду – ніби “для тестування”. Далі додаток переходить на другий етап, де він використовується в якості оболонки для іншої програми Blur, яка з’являється після розпакування Square Photo Blur. Ця програма також не робить нічого поганого. Зловмисники створили такий процес, щоб змусити користувачів повірити в те, що вони завантажили законний додаток Square Photo Blur.
Лише на третьому етапі додаток стає шкідливим. Саме на цьому етапі шкідливий код генерує рекламні оголошення. За словами дослідників, код, присутній в додатку, може показувати рекламу кожен раз, коли користувач розблоковує екран, починає заряджати телефон або перемикається з стільникових даних на Wi-Fi і навпаки.
І справді, команда Satori виявила фрагмент коду, відповідальний за рекламу на VirusTotal (VT), додавши, що ці образи, очевидно, є невеликими варіаціями того ж базового коду з поступовими змінами. Це, ймовірно, допомагає уникнути виявлення “шкоди” антивірусними програмами, які встановлені у користувача на смартфоні.
Після повного першого встановлення, при натисканні на іконку програми Square Photo Blur на тестовому пристрої було виявлено, що це, по суті, звичайна оболонка додатку, якої достатньо для того, щоб пройти перевірку Play Store. Команда Satori додала список шкідливих додатків до звіту і рекомендувала всім, хто ними користується, негайно видалити ці застосунки. Додатки вже були видалені з магазину Google Play, проте користувачі все ще використовують їх.
Список шкідливих додатків з групи Chartreuse Blur
Додаток | PKG Name | Версія | Кількість встановлень | Автор/розробник |
Auto Picture Cut | com.auto.picture.cut.background.eraser.tool | 4.0.0 | 100 000+ | mecharcfa(at)gmail.com |
Color Call Flash | com.color.call.flash.tools | 2.0.0 | 50 000+ | Seay Elizabeth |
Square Photo Blur | com.jack.square.photo.blur.image | 2.0.5 | 500 000+ | Thomas Mary |
Square Blur Photo | com.jobfun.square.photo.blur.image | 7.0.0 | 500 000+ | Ward Nadine |
Magic Call Flash | com.magic.call.flash.tools | 2.0.0 | 50 000+ | Robinson Yolanda |
Easy Blur | com.mary.super.photo.blur.tool | 6.0.0 | 100 000+ | Chu Erin |
Image Blur | com.mclain.photo.blur.editor.background | 2.0.5 | 100 000+ | Myers Jason |
Auto Photo Blur | com.paige.photo.blur.background | 6.0.0 | 100 000+ | Taylor Zelma |
Photo Blur | com.scorp.photo.blur.background | 2.0.3 | 500 000+ | Swindell Eddie |
Photo Blur Master | com.scott.scorp.photo.blur.background | 8.0.0 | 100 000+ | Myers Jesse |
Super Call Screen | com.super.call.screen.tools | 2.0.0 | 100 000+ | O’Connor Amy |
Square Blur Master | com.robert.square.photo.blur.image | 6.0.0 | 100 000+ | Gledhill Janice |
Square Blur | com.craig.square.photo.blur.image | 5.0.0 | 50 000+ | Johnson Melanie |
Smart Blur Photo | com.james.smart.blur.photo.editor.tool | 2.0.0 | 500 000+ | Robinson Yolanda |
Smart Photo Blur | com.james.smart.photo.blur.editor.tool | 4.0.0 | 500 000+ | Tammy Roush |
Super Call Flash | com.super.call.screen.tools | 2.0.0 | 100 000+ | Kirk Brian |
Smart Call Flash | com.smart.call.flash.tools | 2.0.0 | 50 000+ | Davis Betty |
Blur Photo Editor | com.sixgod.photo.editor.blur.image.tool | 2.0.8 | 5 000+ | Addison Goldie |
Blur Image | com.fancy.photo.editor.blur.image.tool | 2.0.6 | 10 000+ | Alvord Columbus |
Додатки, що продають дані користувача рекламодавцям
На початку 2020 року портал VPNpro попередив власників смартфонів на Android про 24 потенційно небезпечні додатки, які можуть стежити за геолокацією користувача з метою продажу цих даних рекламодавцям. Кількість скачувань становила близько 382 млн, тому наполегливо рекомендуємо перевірити свій смартфон на наявність встановлених додатків зі списку нижче та їх безпечність.
Цікаво й те, що всі 24 додатки, які можуть стежити за геолокацією, пов’язані з великою китайською компанією – Shenzhen HAWK, яка є частиною корпорації TLC Corporation (пов’язана з державою). Ці додатки “просять” у власників занадто багато дозволів, які їм не потрібні для нормальної роботи. Наприклад, ігри, диктофони і програми очищення смартфона просять дозволити їм здійснювати дзвінки, робити фотографії, знімати відео і записувати аудіо. Що дуже дивно і підозріло. Тому рекомендуємо звертати увагу на необхідні програмам дозволи перед їх встановленням.
Раніше Shenzhen HAWK вже звинувачували в поширенні шкідливих програм. Ось список програм, які на думку VPNpro є потенційно небезпечними. Ймовірно, вони збирають велику кількість даних користувачів і продають їх третім особам без відома і згоди користувачів:
Sound Recorder | Super Cleaner | Virus Cleaner 2019 | File Manager |
Joy Launcher | Turbo Browser | Weather Forecast | Candy Selfie Camera |
Free VPN | Hi VPN | Candy Gallery | Calendar Lite |
Super Battery | Hi Security 2019 | Net Master | Puzzle Box |
Private Browser | Hi VPN Pro | World Zoo | Word Crossy |
Soccer Pinball | Dig It | Laser Break | Music Roam |
Word Crush |
Мета створення шкідливих додатків
Чому розробники додатків йдуть на такі ризики – створюють і публікують небезпечні програми, які незабаром можуть бути викриті в порушеннях і видалені з Google Play? Все просто, це бізнес, і досить вигідний. В середньому на ринку рекламодавці готові платити $4 за 1000 користувачів в місяць, отримуючи доступ до їх геолокації, яка цінується найбільше – вона дозволяє визначити місце розташування не тільки з мінімальною похибкою в кілька метрів, а й навіть видає поверх розташування у великому будинку або ТРЦ.
Очевидно – за це готові платити. А, якщо компанія має не 1000, а 1 млн користувачів – то це вже $4000 у місяць, ну а 100 млн – $400 000 у місяць. Не складно порахувати, що розташування додатку в магазині Google Play 3 місяці при кількості 100 млн встановлень принесе розробникам $1.2 млн. З таким бюджетом розробляти програми можна нон-стоп, щоразу замінюючи видалені на нові. Більше того, дані можуть бути перепродані не одному рекламодавцю, а 2-3, або й десяткам і сотням. Отже, суми заробітку будуть ще більші. На момент написання статті, всі ці додатки вже вилучені з Google Play, проте вони все ще можуть бути встановлені на смартфонах у користувачів.
На початку липня 2020 року компанія Evina, що спеціалізується на кібербезпеці, виявила в Google Play 25 додатків, які викрадали дані для входу в облікові записи Facebook. Вони не намагалися продавати геолокацію або показувати рекламу, вони просто крали логіни і паролі доступу до аккаунтів Facebook.
Додатки, що викрадають дані для входу в Facebook
Небезпечними можуть бути додатки з абсолютно різних категорій: карткові ігри, файлові менеджери, лічильники кроків, ліхтарики чи інші. Всі ці програми були встановлені більше 2 млн разів. І всі вони містили один і той самий шкідливий код, який під час запуску програми Facebook відкривав користувачеві підроблену сторінку, де користувач вводив логін і пароль, які далі відправлялися кіберзлочинцям з метою подальшого використання акаунтів в своїх цілях або перепродажу конфіденційних даних в Dark Net. Тому рекомендуємо встановити двофакторну або багатофакторну аутентифікацію для входу в Facebook. На даний момент всі ці небезпечні програми для смартфонів Android також видалені з Google Play, але все ще працюють на багатьох смартфонах – вказується в повідомленні Phone Arena. Ось список програм, які можуть викрадати персональні й конфіденційні дані, пов’язані з соціальною мережею Facebook:
Super Wallpapers Flashlight | Video Maker | Super Flashlight | Synthetic Z |
Padenatef | Color Wallpapers | Solitaire Game | File Manager |
Wallpaper Level | Pedometer | Accurate Scanning Of QR Code | Composite Z |
Contour Level Wallpaper | Powerfull Plashlight | Classic Card Game | Screenshot Capture |
iPlayer & iWallpaper | Super Bright Flashlight | Junk File Cleaning | Daily Horoscope Wallpapers |
Wuxia Reader | Plus Weather | Anime Live Wallpaper | iHealth Step Counter |
5 помилок користувачів, які можуть призвести до небезпечних наслідків
– не видаляти з смартфона невикористовувані додатки;
– залишати постійно увімкненими Bluetooth та NFC;
– забувати вчасно оновлювати операційну систему Android;
– не перевіряти доступи, надані додаткам при встановленні;
– встановлювати додатки, завантажені від сторонніх розробників не на платформі Google Play.
Отже, будьте пильними, не забувайте про особисту кібербезпеку та захист персональних й конфіденційних даних.