Распространение вредоносных файлов через приложения для смартфонов и планшетов

Обновлено: 06.01.2025

Что такое вредоносное ПО для Android?

Я уверен, что Вы уже слышали термин «вредоносное ПО» — это сокращенная версия «вредоносного программного обеспечения». Это распространено в Windows, но на Android это не тоже самое. Это не приведет к появлению множества всплывающих окон, не установит панели инструментов или что-то в этом роде. Это просто не работает одинаково.

Часто люди даже не знают, что у них установлен этот мусор, потому что он больше скрыт на Android. Вредоносная программа может скрываться под видом безопасного приложения или полностью скрыть себя от Вас. Тем не менее, она может работать в фоновом режиме, выполняя сомнительные действия, такие как кража Вашей личной информации.

Например, недавно обнаруженное вредоносное ПО Skygofree делает некоторые довольно плохие вещи , например, имеет возможность исполнять 48 разных команд, включать микрофон Вашего телефона, подключаться к взломанному Wi-Fi и собирать тонны информации и многое другое. Это плохо.

Но не выбрасывайте свой телефон и пока не переходите на сторону Apple. Довольно легко избежать вредоносных программ на Android, если Вы будете немного осторожны. Вот что Вы должны делать.

Придерживайтесь официальных приложений и будьте осторожны при загрузке APK файлов

Одной из основных вещей, которая отличает Android от других мобильных операционных систем, является способность загрузки приложений, которые не находятся в официальном Google Play Store . Большинство людей не должны этого делать, но это может быть удобно, если приложение недоступно в Вашей стране, или последняя версия приложения пока не вышла на Ваше устройство.

К сожалению, эта настройка может быть опасной. Google также активно предпринимает шаги по сокращению количества вредоносных приложений, обнаруженных в Play Store, но он не контролирует то, что Вы выбираете для ручной установки, — и если Вы устанавливаете приложения, которые не были проверены, то возрастает риск для установки вредоносного ПО. Вот почему эта опция отключена по умолчанию. Google также улучшил процесс загрузки приложений не из Google Play Store в Android Oreo , чтобы сделать его более безопасным.

Когда Вы загружаете приложение, потратьте несколько секунд, чтобы спросить себя, доверяете ли Вы источнику. Это исходит из законного места? Например, Вы можете безопасно загружать приложения из APK Mirror , так как все файлы тщательно проверяются, прежде чем размещать их на сайте.

Если Вы загружаете APK с сайта, который Вы не знаете, сначала выполните некоторые исследования. Это сайт разработчика? Является ли разработчик хорошо известным и надежным?

Кроме того, просто посмотрите на сайт — сколько рекламы есть? Каково качество этих объявлений?

Избегайте сторонних магазинов приложений

Поскольку Вы можете загружать приложения на Android, это означает, что Вы также можете загружать сторонние магазины приложений. Существует не так уж много оснований для этого, хотя есть исключения — например, использование Appstore от Amazon для эксклюзивных приложений или скидок.

Но общее правило здесь должно быть следующим: просто используйте Google Play. Это не идеально, но он по-прежнему намного безопаснее, чем использование какого-то потенциально опасного стороннего варианта, который может быть заполнен всяким барахлом. Вот как может сложиться плохая ситуация: скажем, Вы устанавливаете сомнительный сторонний магазин приложений. Вы должны включить загрузку из неизвестных источников, чтобы установить его, что позволяет также использовать это хранилище приложений для установки большего количества приложений. Даже если Вы используете Android Oreo, для которого требуется поддержка загрузки из неизвестных источников в приложении, Вам необходимо предоставить разрешение на использование этого нового магазина приложений для установки приложений.

Но что, если этот магазин приложений заражен? Теперь у него есть разрешение на установку большего количества приложений, поэтому он может установить больше вредоносных программ. Это один из основных способов распространения вредоносного ПО через систему.

Не устанавливайте пиратские приложения

Это идет рука об руку с вышеупомянутым пунктом, и, возможно, само собой разумеется, но не пиратские приложения, ребята! Как и в Windows, пиратское программное обеспечение — отличный способ загадить Ваше устройство всеми видами сомнительного программного обеспечения. Кто знает, что Вы на самом деле устанавливаете с пиратским контентом, потому что это не всегда так, как Вы думаете.

Убедитесь, что Вы устанавливаете официальные приложения, даже при использовании Google Play

Например, недавно был обнаружен фальшивое приложение Whatsapp в Play Store, и он был загружен более миллиона раз. Даже имя разработчика выглядело почти идентично фактическому разработчику WhatsApp. Это довольно страшно.

Опять же, Google активно принимает меры по сокращению этих проблем, но некоторый контент все же может пройти мимо. Когда Вы устанавливаете новое приложение, будьте осторожны. Проверьте его разрешения , прочитайте описание и проверьте учетную запись разработчика.

Всегда устанавливайте обновления системы

Google выпускает ежемесячные патчи безопасности для Android, которые помогают защитить систему от атак, особенно когда обнаружена определенная уязвимость, которую пытаются использовать вредоносные приложения.

В то время как не каждый производитель будет выпускать обновления так быстро, как должен, Вы все равно должны устанавливать все обновления, которые Вы получаете. Они не будут приносить новые функции, но они защитят Вас от атак. Потратьте 15 минут своего времени и установите обновления.

Современные мобильные устройства очень сложны, и это дает злоумышленникам возможности для проведения атак. Для взлома вашего смартфона может быть использовано буквально все — от Wi-Fi и Bluetooth до динамика и микрофона.

Аналитики Positive Technologies опубликовали исследование распространенных сценариев атак на мобильные устройства и приложения. В
нашей статье – главные тезисы этого документа.

Как атакуют мобильные устройства и приложения

Существует пять основных сценариев атаки. Среди них:

Физический доступ. Если телефон был украден или потерян, владелец отдал его в сервис или подключил к поддельному зарядному устройству по USB — все это открывает возможность для атаки.
Вредоносное приложение на устройстве. Иногда такие приложения могут попасть на устройство даже из официальных источников, Google Play и App Store (для Android, для iOS).
Атакующий в канале связи. Подключившись к недоверенному Wi-Fi, прокси-серверу или VPN, мы становимся уязвимыми для атак в канале связи.
Удаленные атаки. Атакующий может действовать при этом удаленно, пользуясь серверами мобильных приложений или иными службами для доставки эксплойта.
Атаки на серверную часть. Отдельно от всего можно рассмотреть атаки на серверную часть мобильных приложений, поскольку в этом случае доступ к устройству злоумышленнику не требуется.

Атаки с физическим доступом

Есть несколько главных сценариев атак с физическим доступом. Как правило, они подразумевают доступ человека напрямую к смартфону: это происходит в том случае, если устройство украли, владелец его потерял или отнес в сервис. Однако есть и достаточно необычный способ атаки, для которого используется вредоносная зарядная станция. Рассмотрим именно его.

Зарядная станция, к которой вы подключаете свой смартфон по USB, вполне может оказаться не совсем безопасной. Для современных версий ОС Android и iOS при подключении с смартфона к ПК по USB требуется разрешение на доступ к устройству. Однако на Android 4.0 и ниже этого не требовалось. В итоге при подключении таких устройств к скомпрометированным или установленным хакерами зарядным станциям, открывается возможность для атаки. Ее сценарий может выглядеть так:

На вашем смартфоне с версией Android 4.0 или ниже доступна отладка по USB.
Вы подключаетесь к зарядной станции по USB-кабелю.
Вредоносная зарядная станция выполняет команду adb install malware.apk, чтобы установить вредонос на ваше устройство.
Вредоносная зарядная станция выполняет команду adb am start com.malware.app/.MainActivity для запуска этого вредоносного приложения.
Запущенный троян пробует различные техники повышения привилегий, получает права root и закрепляется в системе. Теперь ему доступны все хранимые данные, включая аутентификационные (логины, пароли, токены) от всех установленных приложений, а также неограниченный доступ к любому приложению во время исполнения.

Как защититься

В первую очередь, будьте внимательны и не оставляйте телефон и планшет без присмотра в общественных местах. Обязательно установите пароль для разблокировки устройства или включите биометрическую защиту, если это возможно. Не повышайте привилегии до административных (jailbreak или root), отключите отображение уведомлений на заблокированном экране.

Атаки с помощью вредоносных приложений

Есть несколько источников таких приложений:

Официальные магазины приложений — Google Play и App Store. Редко, но даже в официальных маркетах можно найти вредоносное приложение, которое может нанести ущерб вам и вашим данным. Часто такие приложения стараются заполучить побольше установок с помощью кликбейтных названий типа «Super Battery», «Turbo Browser» или «Virus Cleaner 2019».
Неофициальные сайты и магазины приложений (third-party appstore). Для Android-устройств достаточно разрешить установку из недоверенных источников, а затем скачать apk-файл приложения с сайта. Для iOS-устройств достаточно перейти по ссылке в браузере Safari, подтвердить установку сертификата на устройство, после чего любое приложение в этом неофициальном магазине станет доступно для установки прямо из браузера.
Пользователь может установить скачанное из интернета приложение с помощью USB-подключения.
Для Android-устройств доступна возможность загрузки части приложения при переходе по ссылке — механизм Google Play Instant.

Помимо этого, вредоносное приложение может попытаться получить повышенные привилегии в системе, проэксплуатировав уязвимости, позволяющие получить root-права или jailbreak.

Как защититься

Для защиты от подобных атак рекомендуется в первую очередь избегать установок приложений из недоверенных источников. С осторожностью необходимо устанавливать и приложения с подозрительными названиями даже из официальных магазинов приложений, так как никакие проверки не работают идеально. Своевременно обновляйте ОС и приложения, чтобы исключить возможность атак через известные уязвимости.

Атаки в канале связи

Для того чтобы злоумышленник смог действовать из канала связи, ему необходимо выполнить атаку «человек посередине», то есть чтобы весь трафик, передаваемый между клиентским мобильным приложением и серверной частью проходил через устройство злоумышленника. Иногда в приложениях встречаются уязвимости, позволяющие такие атаки.

К примеру, обычно при установке защищенного соединения клиентское приложение проверяет подлинность сертификата сервера и соответствие его параметров параметрам сервера. Однако иногда разработчики для удобства при работе над приложением отключают такие проверки, забывая включить их обратно в релизной версии. Как итог, приложение принимает любой сертификат сервера для установки защищенного соединения, в том числе и сертификат злоумышленника.

Если злоумышленнику удастся получить контроль над трафиком между клиентским приложением и сервером, то это даст ему целый ряд возможностей:

подменять ответы сервера, например для подмены реквизитов банковских операций или фишинга;
подменять запросы клиентского приложения, например изменяя сумму перевода и счет получателя;
перехватывать данные, например логины, пароли, одноразовые пароли, данные банковских карт, историю операций.

Как защититься

Не подключайтесь к сомнительным точкам доступа, не используйте прокси- и VPN-серверы, которым вы не доверяете свою личную и банковскую информацию. Не устанавливайте сторонние сертификаты на устройство.

Как правило, большинство популярных мессенджеров и приложений соцсетей хорошо защищены от подобных атак; если, например, вдруг какое-то из этих приложений отказывается работать через текущее Wi-Fi-подключение, это может означать, что данная точка доступа небезопасна и лучше от нее отключиться, чтобы не подвергать опасности остальные приложения, в том числе ваш мобильный банк.

Удаленные атаки

Некоторые уязвимости в мобильных приложениях можно проэксплуатировать удаленно, и для этого даже не требуется контролировать передачу данных между приложением и сервером. Многие приложения реализуют функциональность по обработке специальных ссылок, например myapp://. Такие ссылки называются deeplinks, и работают они как на Android, так и на iOS. Переход по такой ссылке в браузере, почтовом приложении или мессенджере может спровоцировать открытие того приложения, которое умеет такие ссылки обрабатывать. Вся ссылка целиком, включая параметры, будет передана приложению-обработчику. Если обработчик ссылки содержит уязвимости, то для их эксплуатации будет достаточно вынудить жертву перейти по вредоносной ссылке.

Для Android-устройств переход по ссылке может спровоцировать загрузку Instant App, что делает возможным удаленную эксплуатацию уязвимостей, связанных с установкой вредоносного приложения.

Как защититься

Своевременная установка обновлений приложений и ОС в данном случае — единственный способ защититься. Если у вас нет возможности установить обновление или оно еще не вышло, можно временно прекратить использование уязвимого приложения: удалить его с устройства или просто разлогиниться.

Атаки на серверную часть

Для атаки на сервер мобильного приложения злоумышленнику, как правило, достаточно изучить, как происходит взаимодействие клиентского приложения с сервером, и уже исходя из собранной информации о точках входа попытаться видоизменять запросы с целью обнаружить и проэксплуатировать уязвимости.

Зачастую устройство серверной части мобильного приложения ничем не отличается от веб-приложения. Как правило, устроены серверы мобильных приложений еще проще и часто представляют из себя json- или xml-api, редко работают с HTML-разметкой и JavaScript, как это часто делают веб-сайты.

Если сравнивать уязвимости веб-приложений и серверных частей мобильных приложений, то мы видим, что следующие уязвимости преобладают в мобильных приложениях:

недостаточная защита от подбора учетных данных: 24% веб-приложений и 58% серверов мобильных приложений содержат такие уязвимости,
ошибки бизнес-логики: 2% веб-приложений и 33% серверов мобильных приложений.

Как защититься

В данном случае обычный пользователь мало что может сделать. Однако можно снизить риски пострадать от атак на сервер, если использовать сложный пароль, а также настроить двухфакторную аутентификацию с помощью одноразовых паролей во всех критически важных приложениях, которые это позволяют сделать.

Чтобы минимизировать вероятность успешной атаки на мобильное приложение, его разработчики должны проверять возможность реализации каждого из описанных сценариев. При разработке нужно учитывать различные модели нарушителей, а некоторые меры защиты необходимо предпринять еще на стадии проектирования.

Хорошей рекомендацией для разработчиков будет внедрение практики безопасной разработки (security development lifecycle, SDL) и регулярный анализ защищенности приложения. Такие меры не только помогут своевременно выявить потенциальные угрозы, но и повысят уровень знаний разработчиков в вопросах безопасности, что повысит уровень защищенности разрабатываемых приложений в долгосрочной перспективе.

Автор: Николай Анисеня, руководитель группы исследований безопасности мобильных приложений Positive Technologies

Почему? Смартфоны и планшеты быстро становятся все более мощными, а компании с готовностью внедряют политики использования собственных устройств сотрудников (BYOD) для получения доступа к корпоративным сетям с применением персональных технологий. Однако при этом быстро растет количество мобильных вредоносных программ - вредоносного кода, предназначенного для заражения смартфонов и планшетов.

Ваши факторы риска

Apple также не обладают иммунитетом. В сентябре 2015 года из официального магазина приложений было изъято 40 программ, поскольку они были заражены XcodeGhost, вредоносным ПО, предназначенным для превращения устройств Apple в крупномасштабную бот-сеть.

Несмотря на хвалебную защиту Apple, вредоносная программа не только пробиралась сквозь нее, но и накладывалась поверх легитимных приложений, что затрудняло ее обнаружение.

Вывод? Если у вас есть мобильное устройство, вам угрожает опасность.

Меры по защите вашего устройства

Итак, как защитить ваше мобильное устройство от вредоносного кода? Попробуйте выполнить эти простые шаги:

Количество вредоносного мобильного ПО растет, а злоумышленники переключают свои усилия на смартфоны и планшеты, подвергая рискам вредоносных атак глобальные мобильные рынки. Обеспечение безопасности означает понимание ваших рисков, общих угроз и соблюдение основных правил безопасности мобильных устройств.

Заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин напомнил, что многие пользователи, сами того не зная, скачивают на телефон опасные приложения. Они могут собирать и размещать в открытом доступе ваши личные данные, прослушивать разговоры и следить за действиями. При этом многие из них совершенно спокойно продаются в официальных магазинах. Где таится угроза и как себя обезопасить — вместе со специалистами выясняли «Известия».

Будь готов

Случаи, когда вирусы попадают на устройство без малейшего участия владельцев смартфонов, имеют место быть. Летом Google признала, что хакеры нашли способ заразить гаджеты на базе Android еще на заводе во время сборки. Вирусы Triada устанавливали на смартфон приложения с огромным количеством рекламы, доход от которой шел злоумышленникам.

По словам экспертов, такие истории всё же пока экзотика. Самая распространенная угроза для смартфона Android — его невнимательный владелец.

В яблочко: к чему приведет закон об обязательном российском софте в смартфонах

«Более 90% случаев — не уязвимости, а сами пользователи. Основной источник заражения — приложения, скачанные не через магазин, а через браузер. Поисковик первым делом выдает не официальный сайт, а контекстную рекламу. Часто ее выкупают мошенники, и, переходя по ссылке с телефона, вы скачиваете вредоносный файл APK», — поясняет в беседе с «Известиями» заместитель лаборатории компьютерной криминалистики Group-IB Сергей Никитин.

С этим согласны и аналитики «Лаборатории Касперского». То, что приложение популярное, от угрозы не спасет.

— Часто злоумышленники подделывают зловреды под самые популярные приложения или классы приложений. Например, недавно мы обнаружили больше тысячи зловредов, которые притворялись популярным приложением для знакомств. А вообще, в 2019 году чаще всего троянцы выдавали себя за приложения для обработки фотографий, — рассказывает «Известиям» Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского».

Найти фейк можно порой даже в официальных магазинах. В 2017 году в Google Play было выявлено 85 приложений, с помощью которых злоумышленники крали учетные данные пользователей соцсети «ВКонтакте». Для решения проблемы были привлечены разработчики антивирусов. Но отправляясь в «свободное плавание» на форумы и в каталоги пиратских программ, пользователь увеличивает риск в разы.

Опасность скачивания с непроверенных ресурсов — в первую очередь риск для владельцев Android. Но это не означает, что пользователям iOS не о чем беспокоиться. Хотя App Store старается отсеивать тех, кто работает недобросовестно, но и здесь не обходится без проблем.

Заместитель лаборатории компьютерной криминалистики Group-IB Сергей Никитин

Распространенное мошенничество в App Store — приложения, где необходимо взаимодействие с сенсором. Через отпечаток пальца предлагают померить давление, определить пол ребенка, сделать генетический тест и что угодно. Когда человеку говорят приложить палец — появляется информация и одновременно предложение оплатить покупку, и списывается определенная сумма. Это не совсем мошенничество, а скорее, тест на внимательность. Формально есть процедура возврата денег в течение суток, но для этого человеку нужно было заметить списание.

Особенно страдают от таких схем те, кто не пользуется банковскими уведомлениями и не может моментально узнать о списании со счета небольшой суммы.

Двойные агенты

Немало в интернете и приложений, которые изначально создавались с благой целью, но стали причинять владельцам смартфонов большие неудобства.

— Какое-то время был популярен GetContact, он показывал, как вы записаны у других. Но надо понимать, что приложение запрашивает доступ к контактам, и ваша база может утечь. Такие случаи были. Сейчас часто предлагают услугу блокировки спам-звонков. Приложения делают и известные вендоры. Здесь принцип такой же. Ваши данные, ваши контакты окажутся у компании. Поэтому сначала нужно ответить на вопрос, насколько вы доверяете вендору, — рассуждает Сергей Никитин.

Серьезная лазейка для мошенников — приложения для удаленного управления. Придуманные для технической поддержки, они позволяют мастеру видеть экран вашего устройства.

Заместитель лаборатории компьютерной криминалистики Group-IB Сергей Никитин

Такие есть и на iOS, и на Android. Злоумышленник может попросить поставить программу и потом провести финансовую операцию от вашего имени. Многие банки сейчас показывают одноразовый код в пуш-уведомлениях, так что увидеть его на экране не проблема. Выходит, что программа легальная, для благих целей, но может быть и двойного назначения. Предоставлять такой доступ нужно только проверенным людям.

Гарри Поттер и покемоны: чего ждать от мобильной игры про волшебников 21 июня AR-игра Harry Potter: Wizards Unite стала доступна в Великобритании и США

Исключительно с благими намерениями разрабатывали и приложения для контроля за детьми. Но специалисты напоминают: такие приложения запрашивают множество разрешений, и если управление окажется в руках мошенника, то телефон превратится в шпиона.

Защитники

Логичным выходом в ситуации, когда наткнуться на «врага» можно даже на официальных площадках, кажется антивирус. Для смартфонов на базе Android их существует великое множество. И подойти к выбору лучше ответственно. Если просто вбить в поиск «антивирус», то найти можно не средство защиты, а лишние проблемы. Специалисты напоминают, что неизвестный антивирус может в лучшем случае оказаться пустышкой, а в худшем — программой с тем же трояном.

«У антивирусов под Android главная проблема в том, что они необходимы, но часто недостаточны: отслеживают старые угрозы, заражения, которые уже попадали в антивирусные базы. Но лучше их устанавливать, особенно для пожилых родственников и детей. Настроить жесткую политику проверки и удаления, в случае когда приложение обнаружило проблему. И я рекомендую все-таки известные бренды, потому что фейков очень много», — делится с «Известиями» специалист Group-IB.

Облегчает жизнь пользователям и то, что с каждым годом производители совершенствуют свои технологии, в том числе встроенной безопасности. Чтобы понять, насколько прокачанный в плане безопасности телефон вы выбираете, обратить внимание следует не только на версию операционной системы (ОС).

Источник заразы: шесть самых зловещих вирусов в истории интернета Зараженный вредоносными программами ноутбук продали за $1,3 млн

— Важна не столько сама версия, сколько такая вещь, как патчи безопасности. Они появились начиная с седьмого Android, но безопасными можно считать телефоны, у которых патчи позднее ноября 2019 года. В ноябре было найдено очень много уязвимостей, которые позволяют получить права суперпользователя. Иногда от вируса можно избавиться, только полностью перепрошив аппарат, — объясняют в лаборатории компьютерной криминалистики.

Для iOS же антивирусов не существует в принципе. Операционная система устроена так, что одно приложение не должно получить прав контроля над другими. Остается надеяться на производителя, который будет своевременно выпускать обновления.

Внимание к деталям

В любом случае в условиях, когда смартфон стал неотъемлемой частью нашей жизни и носителем огромного количества информации, стоит позаботиться о том, чтобы лишний раз не ставить его под удар.

Первое, на что нужно обратить внимание, — какие разрешения просит приложение. Явно насторожить пользователя должен запрос функций администрирования.

— Это могут просить антивирусы, приложения контроля за детьми, некоторые встроенные приложения, как «найти телефон» от Samsung. Но это исключения. Для остальных такой запрос — аномальная ситуация, — уверяет Сергей Никитин.

Еще одна важная функция, с которой нужно быть осторожнее, — «специальные возможности».

Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского»

Специальные возможности — это сервис операционной системы, созданный для людей с ограниченными возможностями. Если троянец получит к нему доступ, его возможности становятся безграничными. Например, он может заполнять и осуществлять платежный перевод в банковском приложении. А сталкерское приложение будет перехватывать все нажатия виртуальной клавиатуры — так утекают личная переписка и пароли.

Главное — помнить: вы имеете полное право убрать галочки с пунктов, которые кажутся вам лишними. Это не значит, что приложение вовсе не будет работать, напоминают эксперты.

Читайте также: