Огляд шкідливих додатків для смартфонів на Android, які потрібно видалити

Огляд шкідливих додатків для смартфонів на Android, які потрібно видалити

 

Розглянемо небезпечні програми для смартфонів Android, які продають Вашу геолокацію, крадуть логіни і паролі для Facebook і показують вам не контекстну рекламу.

 

В кінці липня було виявлено 29 небезпечних мобільних додатків для Android, доступних в Google Play. Їх завантажили понад 3,5 млн разів. Головна мета таких додатків – показувати Вам різного роду рекламу, зовсім не контекстну. Всі ці програми пов’язані з обробкою фото. Іконки програми майстерно зникають після перезавантаження смартфона з робочих столів, що ускладнює їх виявлення в списку встановлених програм.

 

Згідно з недавнім звітом, дослідники з групи аналізу загроз White Ops Satori виявили ці додатки, котрі «генерували підозріло великі обсяги рекламного трафіку» під час розслідування, – що і внесло їх до списку підозрюваних. Команда, до якої увійшли дослідники, назвала цю компанію ChartreuseBlur, тому, що більшість додатків містять слово «Blur» в назві свого застосування. Багато з них також заявляють, що є фоторедакторами, які дозволяють користувачам розмивати ділянки в зображеннях. Розглянемо кілька ключових особливостей, які можуть убезпечити користувачів, щоб ті не стали жертвами завантаження одного з цих додатків – все-таки їх уже 3,5 млн.

Опасные приложения для смартфонов Android

 

Одним з характерних ознак додатків є те, що після завантаження вони граються в хованки з користувачем і його смартфоном. 

Значок (іконка) зникає з головного екрану, змушуючи користувача заходити в меню налаштувань і шукати додаток там, щоб знайти його, побачити або хоча б відкрити. Тому «звичайному користувачеві складно видалити додаток». Завдяки цьому розслідуванню, один з додатків Square Photo Blur – вже було видалено з магазину Google Play.

 

Аналітики дослідили додаток Square Photo Blur і виявили, що його поведінка повністю збігається з поведінкою шкідливих програм. Вони виявили, що як тільки додаток встановлюється, він починає атакувати смартфон рекламою, що з’явилася з нізвідки. Це явище відоме як показ реклами поза контекстом.

 

Іншою відмінною рисою даної кампанії є і те, що всі розробники, зазначені для додатків, мають випадкові англомовні імена, які, згідно зі звітом, явно вигадані. Наприклад, розробника Square Photo Blur в Google Play назвали Томас Мері.

За спостереженнями дослідників, такі програми зазвичай проходять трирівневу еволюцію завантаження. На перших двох етапах код і сам додаток виглядає звичайно і не несе ніякої загрози, але вже на третьому етапі програми активуються.

 

На першому етапі додаток встановлюється за допомогою пакувальника Qihoo, що саме по собі не викликає підозр. Він також використовує додаток-заглушку або заглушки, які зазвичай використовуються розробниками в якості замінника для ще не до кінця розробленого коду – ніби “для тестування”. 

 

Далі додаток переходить на другий етап, на якому він використовується в якості оболонки для іншої програми Blur, яке з’являється після розпакування Square Photo Blur. Ця програма також не робить нічого поганого. Зловмисники чинять так для того, щоб змусити користувачів повірити в те, що вони завантажили законний додаток Square Photo Blur.

Згідно зі звітом, тільки на третьому етапі установки програми воно ставати шкідливим. 

Саме на цьому етапі шкідливий код генерує рекламні оголошення. За словами дослідників, код, присутній в додатку, може показувати рекламу кожен раз, коли користувач розблоковує екран, починає заряджати телефон або перемикається з стільникових даних на Wi-Fi і навпаки.

 

І справді, команда Satori виявила фрагмент коду який відповідальний за рекламу на VirusTotal (VT), додавши, що ці образи, очевидно, є невеликими варіаціями того ж базового коду з поступовими змінами. Дослідники вважають, що це, ймовірно, допомагає уникнути виявлення антивірусними програмами, встановленими у користувача в смартфоні.

 

Після повного першого встановлення при натисканні на іконку програми Square Photo Blur на тестовому пристрої вони виявили, що це, по суті, звичайна оболонка додатку, якої достатньо для того, щоб пройти перевірку Play Store». Команда Satori включила список шкідливих додатків до звіту і рекомендувала всім, хто ними користується, негайно видалити їх. Додатки вже були видалені з магазину Google Play, але користувачі все ще використовують їх.

 

Приложение PKG Name Версия Кол-во установок Автор/разработчик

Auto Picture Cut

com.auto.picture.cut.backgr ound.eraser.tool

4.0.0 100 000+

mecharcfa(at)gmail.com

Color Call Flash

com.color.call.flash.tools

2.0.0 50 000+

Seay Elizabeth

Square Photo Blur

com.jack.square.photo.blur.i mage

2.0.5 500 000+

Thomas Mary

Square Blur Photo

com.jobfun.square.photo.blu r.image

7.0.0 500 000+

Ward Nadine

Magic Call Flash

com.magic.call.flash.tools

2.0.0 50 000+

Robinson Yolanda

Easy Blur

com.mary.super.photo.blur.t ool

6.0.0 100 000+

Chu Erin

Image Blur

com.mclain.photo.blur.editor .background

2.0.5 100 000+

Myers Jason

Auto Photo Blur

com.paige.photo.blur.backgr ound

6.0.0 100 000+

Taylor Zelma

Photo Blur

com.scorp.photo.blur.backgr ound

2.0.3 500 000+

Swindell Eddie

Photo Blur Master

com.scott.scorp.photo.blur.b ackgroun

8.0.0 100 000+

Myers Jesse

Super Call Screen

com.super.call.screen.tools

2.0.0 100 000+

OConnor Amy

Square Blur Master

com.robert.square.photo.blu r.image

6.0.0 100 000+

Gledhill Janice

Square Blur

com.craig.square.photo.blur. image

5.0.0 50 000+

Johnson Melanie

Smart Blur Photo

com.james.smart.blur.photo. editor.tool

2.0.0 500 000+

Robinson Yolanda

Smart Photo Blur

com.james.smart.photo.blur. editor.tool

4.0.0 500 000+

Tammy Roush

Super Call Flash

com.super.call.screen.toolz

2.0.0 100 000+

Kirk Brian

Smart Call Flash

com.smart.call.flash.tools

2.0.0 50 000+

Davis Betty

Blur Photo Editor

com.sixgod.photo.editor.blur .image.tool

2.0.8 5 000+

Addison Goldie

Blur Image

com.fancy.photo.editor.blur.i mage.tool

2.0.6 10 000+

Alvord Columbus

 

На початку 2020 року портал VPNpro попередив власників смартфонів для Android про 24 потенційно небезпечних додатки, які можуть стежити за геолокацією користувача для продажу цих даних рекламодавцям. Кількість скачувань не мала – близько 382 млн., тому дуже рекомендуємо перевірити свій смартфон на наявність встановлених додатків і їх безпечність зі списку нижче, і видалити їх, якщо Ви їх знайдете.

 

Цікаво ще й те, що всі 24 додатка, які можуть стежити за Вашою геолокацією пов’язані з великої китайською компанією – Shenzhen HAWK, яка є частиною корпорації TLC Corporation (пов’язана з державою). Ці додатки запитують у власників занадто багато дозволів, які в принципі їм не потрібні для нормальної роботи. Наприклад, ігри, диктофони і програми очищення смартфона просять дозволити їм здійснювати дзвінки, робити фотографії, знімати відео і записувати аудіо. Що дуже дивно і підозріло. Звертайте увагу перед установкою будь-якої програми, які дозволи просить у Вас отримати.

Раніше Shenzhen HAWK вже звинувачували в поширенні шкідливих програм. Ось список програм, які на думку VPNpro можуть бути небезпечними (ймовірно вони збирають велику кількість даних користувачів і продають їх стороннім третім особам без відома і згоди користувачів):

 

Sound Recorder Super Cleaner Virus Cleaner 2019 File Manager
Joy Launcher Turbo Browser Weather Forecast Candy Selfie Camera
Free VPN Hi VPN Candy Gallery Calendar Lite
Super Battery Hi Security 2019 Net Master Puzzle Box
Private Browser Hi VPN Pro World Zoo Word Crossy
Soccer Pinball Dig it Laser Break Music Roam
Word Crush

 

Чому так відбувається, чому розробники додатків йдуть на такі ризики, створюють і публікують свої небезпечні програми, які незабаром можуть бути викриті в порушеннях і видалені з Google Play? Все просто. Це бізнес, і досить вигідний. В середньому по ринку рекламодавці готові платити 4 дол. США за 1000 користувачів в місяць, маючи доступ до їх геолокації, яка цінується найбільше – вона дозволяє визначити місце розташування не тільки з мінімальною похибкою в кілька метрів, але і поверх розташування у великому будинку або ТРЦ.

 

Очевидно – за це готові платити. А якщо компанія має не 1000, а 1 млн. користувачів – то це вже 4000 дол. у місяць. Ну а 100 мл. – 400 000 дол. у місяць. Не складно порахувати, що розташування додатку в магазині Google Play 3 місяці при 100 млн. установок принесе розробникам 1,2 млн. доларів. З таким бюджетом розробляти програми можна нон-стоп, замінюючи видалені на нові, як тільки старі будуть видалені. Більш того, дані можуть бути перепродані не одному рекламодавцю, а 2-3, або й десяткам і сотням. Тим самим цифри будуть ще більші. На момент написання статті, всі ці програми вже вилучені з Google Play, але вони все ще можуть бути встановлені на смартфонах у користувачів.

 

На початок липня 2020 року компанія Evina, що спеціалізується на кібербезпеці, виявила в Google Play 25 додатків, які крали дані для входу в облікові записи Facebook. Вони не намагалися продавати вашу геолокацію або показувати Вам рекламу, вони просто крали логіни і паролі доступу до аккаунтів Facebook.

У список небезпечних додатків для смартфонів Android увійшли різного типу з різних категорій додатки:

карткові ігри, файлові менеджери, лічильники кроків, ліхтарики. Всі ці програми були встановлені більше 2 млн. разів. І всі вони містили один і той же шкідливий код, який під час запуску програми Facebook відкривав користувачеві підроблену сторінку Facebook, де користувач вводив логін і пароль, які після відправлялися кіберзлочинцям для подальшого використання акаунтів в своїх цілях або перепродажу конфіденційних даних в Dark Net. Компанія datami.ua проводить повноцінний пентест для розробників додатків на пошук вразливостей серверів зберігання даних для повноцінної роботи додатків.

 

В небезпечний список увійшли файлові менеджери, карткові ігри, ліхтарик, лічильники кроків і інші зовні не шкідливі програми, які в цілому завантажили понад два мільйони разів. Всі вони містили один і той же шкідливий код, який під час запуску програми Facebook відкривав підроблену сторінку соцмережі і вимагав ввести логін і пароль. Зазначені дані відправлялися зловмисникам. Тому рекомендуємо Вам встановити двухфакторную або багатофакторну аутентифікацію для входу в Facebook. На даний момент всі ці небезпечні програми для смартфонів Android видалені з Google Play, але все ще працюють на багатьох смартфонах – вказується в повідомленні Phone Arena. Ось список програм, які можуть красти ваші персональні і конфіденційні дані, пов’язані з соціальною мережею Facebook:

 

Super Wallpapers Flashlight Video Maker Super Flashlight Synthetic Z
Padenatef Color Wallpapers Solitaire Game File Manager
Wallpaper Level Pedometer Accurate Scanning of QR code Composite Z
Contour level wallpaper Powerfull Plashlight Classic card game Screenshot Capture
iplayer & iWallpaper Super Bright Flashlight Junk file cleaning Daily Horoscope Wallpapers
Wuxia Reader Plus Weather Anime Live Wallpaper iHealth Step Counter

Основні 5 помилок, які допускають користувачі смартфонів на Android, які можуть привести вас до установки небезпечних додатків:

– не видаляти з смартфона невикористовувані додатки

– залишати постійно включеним Bluetooth і NFC

– забувати вчасно оновлювати операційну систему Android від розробника

– не перевіряти і не читати надання дозволу додаткам, які вони запитують перед установкою

– встановлювати додатки, завантажені у сторонніх розробників не на платформі Google Play

 

Будьте пильні, не забувайте про свою особисту кібербезпеку і захист своїх персональних і конфіденційних даних. Підключайте для свого сайту цілодобовий моніторинг і захист 24/7 для вашого сайту і будьте впевнені в тому, що Вас буде дуже складно зламати. Ваш Datami.

 

Сподобалась стаття?
Розкажіть про неї своїм друзям