Обзор вредоносных приложений для смартфонов на Android, которые нужно удалить
Приложения для смартфонов могут быть опасными, так как могут «продавать» геолокацию, «воровать» логины и пароли для доступа к Facebook, воспроизводить не контекстную рекламу.
В конце июля 2020 года в Google Play было обнаружено 29 опасных мобильных приложений для Android. Их загрузили более 3.5 млн раз. Главная цель таких приложений – показ не контекстной рекламы с разным подтекстом. Все указанные приложения связанные с обработкой фото. Интересно то, что иконки установленных приложений, сразу после перезагрузки смартфона, исчезают с рабочих столов, что затрудняет их поиск в списке программ.
Согласно отчету группы исследователей анализа угроз White Ops Satori, эти приложения генерировали подозрительно большие объемы рекламного трафика. Команда исследователей назвала эту группу приложений Chartreuse Blur, ведь в названии большинства из приложений есть слово «Blur». Кроме того, эти фоторедакторы позволяют пользователям размывать участки на изображениях.
«Игра в прятки» с установленными приложениями
Когда значок приложения исчезает с рабочего стола смартфона на операционной системе Android, найти его в списке всех программ бывает нелегко. Это приводит к некоторым трудностям, вроде невозможности удалить приложение. Ведь пользователь считает, что данного приложения уже нет на его смартфоне. Поэтому приложения такого характера опасны. И благодаря расследованию команды Satori, одно из таких приложений – Square Photo Blur – изъяли из магазина Google Play.
В ходе исследования также было обнаружено, что указанное приложение отвечает «признакам» вредоносных программ: после установки начинает “атаковать” телефон рекламой неоткуда. Это явление можно назвать «показом рекламы вне контекста».
Другой отличительной чертой данной группы приложений являются явно вымышленные англоязычные имена разработчиков. Например, разработчик Square Photo Blur в Google Play – Томас Мэри.
Три уровня загрузки приложений
По наблюдениям исследователей, такие программы обычно проходят трехуровневую эволюцию загрузки. На первых двух этапах приложение (как и код) выглядит обычно и не несет никакой угрозы, но уже на третьем этапе активизируются вредные проявления.
На первом этапе приложение устанавливается с помощью упаковщика Qihoo, что само по себе не вызывает подозрений. Оно также использует приложение-заглушку или заглушки, которые обычно используются разработчиками в качестве заменителя для еще не до конца разработанного кода – как будто «для тестирования». Далее приложение переходит на второй этап, где оно используется в качестве оболочки для другой программы Blur, которая появляется после распаковки Square Photo Blur. Эта программа также не делает ничего плохого. Злоумышленники создали такой процесс, чтобы заставить пользователей поверить в то, что они загрузили законное приложение Square Photo Blur.
Лишь на третьем этапе приложение становится вредным. Именно на этом этапе вредоносный код генерирует рекламные объявления. По словам исследователей, код, присутствующий в приложении, может показывать рекламу каждый раз, когда пользователь разблокирует экран, начинает заряжать телефон или переключается с сотовых данных на Wi-Fi и наоборот.
И действительно, команда Satori обнаружила фрагмент кода, ответственный за рекламу на VirusTotal (VT), добавив, что эти образы, очевидно, являются небольшими вариациями того же базового кода с постепенными изменениями. Это, вероятно, помогает избежать обнаружения «вреда» антивирусными программами, которые установлены у пользователя на смартфоне.
После полной первой настройки, при нажатии на иконку программы Square Photo Blur на тестовом устройстве было обнаружено, что это, по сути, обычная оболочка приложения, которой достаточно для того, чтобы пройти проверку Play Store. Команда Satori добавила список вредоносных приложений к отчету и рекомендовала всем, кто ими пользуется, немедленно удалить эти приложения. Приложения уже были удалены из магазина Google Play, однако пользователи все еще используют их.
Список вредоносных приложений из группы Chartreuse Blur
| Приложение | PKG Name | Версия | Количество установок | Автор/разработчик |
| Auto Picture Cut | com.auto.picture.cut.background.eraser.tool | 4.0.0 | 100 000+ | mecharcfa(at)gmail.com |
| Color Call Flash | com.color.call.flash.tools | 2.0.0 | 50 000+ | Seay Elizabeth |
| Square Photo Blur | com.jack.square.photo.blur.image | 2.0.5 | 500 000+ | Thomas Mary |
| Square Blur Photo | com.jobfun.square.photo.blur.image | 7.0.0 | 500 000+ | Ward Nadine |
| Magic Call Flash | com.magic.call.flash.tools | 2.0.0 | 50 000+ | Robinson Yolanda |
| Easy Blur | com.mary.super.photo.blur.tool | 6.0.0 | 100 000+ | Chu Erin |
| Image Blur | com.mclain.photo.blur.editor.background | 2.0.5 | 100 000+ | Myers Jason |
| Auto Photo Blur | com.paige.photo.blur.background | 6.0.0 | 100 000+ | Taylor Zelma |
| Photo Blur | com.scorp.photo.blur.background | 2.0.3 | 500 000+ | Swindell Eddie |
| Photo Blur Master | com.scott.scorp.photo.blur.background | 8.0.0 | 100 000+ | Myers Jesse |
| Super Call Screen | com.super.call.screen.tools | 2.0.0 | 100 000+ | O’Connor Amy |
| Square Blur Master | com.robert.square.photo.blur.image | 6.0.0 | 100 000+ | Gledhill Janice |
| Square Blur | com.craig.square.photo.blur.image | 5.0.0 | 50 000+ | Johnson Melanie |
| Smart Blur Photo | com.james.smart.blur.photo.editor.tool | 2.0.0 | 500 000+ | Robinson Yolanda |
| Smart Photo Blur | com.james.smart.photo.blur.editor.tool | 4.0.0 | 500 000+ | Tammy Roush |
| Super Call Flash | com.super.call.screen.tools | 2.0.0 | 100 000+ | Kirk Brian |
| Smart Call Flash | com.smart.call.flash.tools | 2.0.0 | 50 000+ | Davis Betty |
| Blur Photo Editor | com.sixgod.photo.editor.blur.image.tool | 2.0.8 | 5 000+ | Addison Goldie |
| Blur Image | com.fancy.photo.editor.blur.image.tool | 2.0.6 | 10 000+ | Alvord Columbus |
В начале 2020 года портал VPNpro предупредил владельцев смартфонов на Android о 24 потенциально опасных приложениях, которые могут следить за геолокацией пользователя с целью продажи этих данных рекламодателям. Количество скачиваний составляло около 382 млн, поэтому настоятельно рекомендуем проверить свой смартфон на наличие установленных приложений из списка ниже и их безопасность.
Интересно и то, что все 24 приложения, которые могут следить за геолокацией, связанные с большой китайской компанией – Shenzhen HAWK, которая является частью корпорации TLC Corporation (связанная с государством). Эти приложения «просят» у владельцев слишком много разрешений, которые им не нужны для нормальной работы. Например, игры, диктофоны и программы очистки смартфона просят разрешить им совершать звонки, делать фотографии, снимать видео и записывать аудио. Что очень странно и подозрительно. Поэтому рекомендуем обращать внимание на необходимые программам разрешения перед их установкой.
Ранее Shenzhen HAWK уже обвиняли в распространении вредоносных программ. Вот список программ, которые по мнению VPNpro являются потенциально опасными. Вероятно, они собирают большое количество данных пользователей и продают их третьим лицам без ведома и согласия пользователей:
| Sound Recorder | Super Cleaner | Virus Cleaner 2019 | File Manager |
| Joy Launcher | Turbo Browser | Weather Forecast | Candy Selfie Camera |
| Free VPN | Hi VPN | Candy Gallery | Calendar Lite |
| Super Battery | Hi Security 2019 | Net Master | Puzzle Box |
| Private Browser | Hi VPN Pro | World Zoo | Word Crossy |
| Soccer Pinball | Dig it | Laser Break | Music Roam |
| Word Crush |
Цель создания вредоносных приложений
Почему разработчики приложений идут на такие риски – создают и публикуют опасные программы, которые вскоре могут быть уличены в нарушениях и удалены из Google Play? Все просто, это бизнес, и довольно выгодный. В среднем по рынку рекламодатели готовы платить $4 за 1000 пользователей в месяц, получая доступ к их геолокации, которая ценится больше всего – она позволяет определить местоположение не только с минимальной погрешностью в несколько метров, но даже выдает этаж расположения в большом доме или ТРЦ.
Очевидно – за это готовы платить. А, если компания имеет не 1000, а 1 млн пользователей – это уже $4000 в месяц, ну а 100 млн – $400 000 в месяц. Несложно посчитать, что размещение приложения в магазине Google Play на протяжении 3 месяцев при количестве 100 млн установок принесет разработчикам $1.2 млн. С таким бюджетом разрабатывать программы можно нон-стоп, каждый раз заменяя удаленные на новые. Более того, данные могут быть перепроданы не одному рекламодателю, а 2-3, или десяткам и сотням. Следовательно, суммы заработка будут еще больше. На момент написания статьи, все эти приложения уже изъяты из Google Play, однако они все еще могут быть установлены на смартфонах у пользователей.
В начале июля 2020 компания Evina, специализирующаяся на кибербезопасности, обнаружила в Google Play 25 приложений, которые похищали данные для входа в учетные записи Facebook. Они не пытались продавать геолокацию или показывать рекламу, они просто воровали логины и пароли доступа к аккаунтам Facebook.
Приложения, которые похищают данные для входа в Facebook
Опасными могут быть приложения из совершенно разных категорий: карточные игры, файловые менеджеры, счетчики шагов, фонарики и другие. Все эти программы были установлены более 2 млн раз. И все они содержали один и тот же вредоносный код, который при запуске приложения Facebook открывал пользователю поддельную страницу, где пользователь вводил логин и пароль, которые далее отправлялись киберпреступникам с целью дальнейшего использования аккаунтов в своих целях или перепродажи конфиденциальных данных в Dark Net. Поэтому рекомендуем установить двухфакторную или многофакторную аутентификацию для входа в Facebook. На данный момент все эти опасные программы для смартфонов Android также удалены из Google Play, но все еще работают на многих смартфонах – указывается в сообщении Phone Arena. Вот список программ, которые могут похищать персональные и конфиденциальные данные, связанные с социальной сетью Facebook:
| Super Wallpapers Flashlight | Video Maker | Super Flashlight | Synthetic Z |
| Padenatef | Color Wallpapers | Solitaire Game | File Manager |
| Wallpaper Level | Pedometer | Accurate Scanning of QR code | Composite Z |
| Contour level wallpaper | Powerfull Plashlight | Classic card game | Screenshot Capture |
| iplayer & iWallpaper | Super Bright Flashlight | Junk file cleaning | Daily Horoscope Wallpapers |
| Wuxia Reader | Plus Weather | Anime Live Wallpaper | iHealth Step Counter |
5 ошибок пользователей, которые могут привести к опасным последствиям
— не удалять с смартфона неиспользуемые приложения;
— оставлять постоянно включенными Bluetooth и NFC;
— забывать вовремя обновлять операционную систему Android;
— не проверять доступы, которые требуют приложения при установке;
— устанавливать приложения, загруженные от сторонних разработчиков не на платформе Google Play.
Итак, будьте бдительны, не забывайте о личной кибербезопасности и защите персональных и конфиденциальных данных.
