Новости про Android, Google Play и безопасность

Согласно отчёту, приложение CamScanner было честным, без подозрительной активности. Как и в прочих приложениях, в этом отображалась реклама и предлагались покупки. «Однако в какой-то момент всё изменилось, и свежая версия приложения поставлялась с рекламной библиотекой, содержащей вредоносный модуль».

В приложение был добавлен троян, названный лабораторией Trojan-Dropper.AndroidOS.Necro.n. Сам он не выполнял вредоносных функций, но загружал зловреды другого типа, включая те, что внедряют свою рекламу, подписываются на фейковые рассылки или воруют банковские данные. Раньше трояны подобного типа лаборатория выявляла «предустановленными в некоторых приложениях на китайских смартфонах».

Подозрительную активность заметили некоторые пользователи, о чём написали в комментариях к приложению, чтобы предупредить других пользователей. Разработчики исправили последнюю версию, исключив зловреда, однако Kaspersky отмечает, что для разных устройств версии сильно отличаются, а потому в некоторых случаях вредоносная активность ещё может проявляться.

Как известно, адреса криптокошельков представляют собой длинные строки символов. И конечно, чтобы не вводить их вручную, люди просто копируют и вставляют длинный адрес. Этим и пользуется зловред, просто подменяя скопированный адрес на один из кошельков мошенников, в надежде, что человек не заметит подмены.

Зловреды, которые работают таким образом — не новы. В позапрошлом году ПО такого же действия было выявлено для Windows, а в прошлом — для Android в одном из сторонних магазинов. И только впервые подобный зловред просочился на Google Play Store.

По данным ESET, приложение маскировалось под другое средство работы с криптовалютами под названием MetaMask, которое является честным средством для работы с Ethereum. Однако MetaMask существует лишь в виде аддона к популярным браузерам, его не существует в виде отдельного приложения.

Поддельный MetaMask появился на Play Store 1 февраля. После обращения ESET компания Google удалила его, однако, сколько людей успело им воспользоваться и каковы суммы ущерба, вряд ли кто-то узнает.

Эксперт обнаружил в Google Play 13 игровых приложений выпущенных одним и тем же разработчиком. Две из этих игр рекламировались самим Google Play, находясь в разделе «Топ платных». Это игры — автосимуляторы, однако они являются зловредами. По сумме инсталляций инфицированными оказались 580 тысяч устройств.

Загружавшие приложения надеялись погонять на грузовике или автомобиле, но по факту игра постоянно вылетала. В реальности игра загружала данные с другого домена, зарегистрированного на разработчика приложения в Стамбуле. Что делает зловред пока не выявлено. Ясно, что он загружается вместе с Android и имеет полный доступ к сетевому трафику, что позволяет автору воровать секретные данные.

Домен зарегистрирован на Мерта Озека, но на электронные письма он не отвечает. Представитель Google Скотт Вестовер подтвердил, что приложение нарушает правила Play Store. Компания Google достаточно часто подвергается критике за то, что допускает к публикации вредоносные приложения. Фирма создала специальный сервис для проверки злонамеренных действий, но, похоже, он не стал панацеей. Тем временем блог Лукаса продолжает полнится вредоносными приложениями из Google Play.

В 2014 году Symantec выявила целых 700 тысяч вирусных приложений для Android. Более чем треть программ были тем, что компания назвала «серым ПО» и «сумасшедшим ПО», мобильными приложениями, главной целью которых является забросать вас рекламой. Также были выявлены и блокировщики, шифрующие доступные данные.

Что касается Google Play Store, то тут компания не стала говорить о цифрах выявленного вредоносного ПО. Symantec лишь отметила, что в фирменном магазине количество вредоносного ПО низкое. «Google проделала хорошую работу по очистке Магазина от вредоносного ПО», — заявил директор по менеджменту продуктов Symantec Security Response, и добавил, — «А если подозрительное приложение и оказалось там, они проделывают хорошую работу по его поиску и избавлению от него».

С другой стороны, директор отметил, что если вы воспользуетесь альтернативным рынком приложений для Android, будете загружать приложения с сайтов разработчика, через ссылки в электронной почте либо вообще устанавливать их с пиратских сайтов, то вы подвергнете своё устройство куда большему риску инфицирования. Данное заключение сделано на основе исследования. Так, Symantec воспользовалась своим пакетом Norton Mobile Insight чтобы проверить более 200 магазинов приложений Android, загружая и анализируя более чем 50 тысяч программ и их обновлений каждый день в течение 2014 года.

Что касается типов вредоносного ПО, то в Symantec отметили, что большая часть из него пытается украсть персональные данные владельца устройства, такие как номер телефона, список контактов, которые затем продаются.