Обзор вредоносных приложений для смартфонов на Android, которые нужно удалить
Рассмотрим опасные приложения для смартфонов Android, которые продают Вашу геолокацию, воруют логины и пароли для Facebook и показывают вам не контекстную рекламу.
В конце июля было обнаружено 29 опасных мобильных приложений для Android, доступные в Google Play. Их скачали более 3,5 млн раз. Главная цель таких приложений — показывать Вам различного рода рекламу, совсем не контекстную. Все эти приложения связаны с обработкой фото. Иконки приложения искусно исчезают после перезагрузки смартфона с рабочих столов, что усложняет их обнаружение в списке установленных программ.
Согласно недавнему отчету, исследователи из группы по анализу угроз и исследованиям White Ops Satori обнаружившие эти приложения, они «генерировали подозрительно большие объемы рекламного трафика» во время расследования. Что и привело к подозрению. Команда, в которую вошли исследователи, назвала данную кампанию ChartreuseBlur, отчасти потому, что большинство приложений содержат слово «Blur» в названии своего приложения. Многие из них также заявляют, что являются фоторедакторами, позволяющими пользователям размывать участки в изображениях. Рассмотрим несколько ключевых особенностей, которые могут предупредить пользователей, чтобы они не стали жертвами загрузки одного из этих приложений, их все-таки уже 3,5 млн.
Одним из отличительных признаков приложения является то, что после загрузки оно играет с пользователем и его смартфоном в прятки.
Значок (иконка) исчезает с главного экрана, заставляя пользователя заходить в меню настроек и искать приложение там, чтобы найти его, увидеть или хотя бы открыть. Поэтому «обычному пользователю сложно удалить приложение». Благодаря этому расследованию, одно из приложений Square Photo Blur — уже было удалено из магазина Google Play.
Аналитики провели анализ приложения Square Photo Blur и обнаружили, что его поведение полностью совпадает с поведением вредоносных программ. Они обнаружили, что как только приложение устанавливается, оно начинает атаковать смартфон рекламой, появившаяся из ниоткуда. Это явление известно как показ рекламы вне контекста.
Другой отличительной чертой данной кампании является и то, что все разработчики, указанные для приложений, имеют случайные англоязычные имена, которые, согласно отчету, явно вымышленные. Например, разработчика Square Photo Blur в Google Play указали Томас Мэри.
По наблюдениям исследователей, такие приложения обычно проходят трехуровневую эволюцию загрузки. На первых двух этапах код и само приложение выглядят как обычное и не несет никакой угрозы, но уже на третьем этапе программы активируются.
На первом этапе приложение устанавливается с помощью упаковщика Qihoo, что само по себе не вызывает подозрений. Он также использует приложение-заглушку или заглушки, которые обычно используются разработчиками в качестве заменителя для еще не до конца разработанного кода — как бы “для тестирования”.
Далее приложение переходит на второй этап, на котором оно используется в качестве оболочки для другого приложения Blur, которое показывается после распаковки Square Photo Blur. Это приложение также не делает ничего плохого. Злоумышленники, поступают так для того, чтобы заставить пользователей поверить в то, что они загрузили законное приложение с Square Photo Blur..
Согласно отчету, только на третьем этапе установки приложения оно становиться вредоносным.
Именно на этом этапе вредоносный код генерирует рекламные объявления.
По словам исследователей, код, присутствующий в приложении, может показывать рекламу каждый раз, когда пользователь разблокирует экран, начинает заряжать телефон или переключается с сотовых данных на Wi-Fi и наоборот.
Действительно, команда Satori обнаружила фрагмент кода, ответственный за рекламу на VirusTotal (VT) , добавив, что эти образы, по-видимому, являются небольшими вариациями того же базового кода с постепенными изменениями. Исследователи считают, что это, вероятно, помогает избежать обнаружения антивирусными программами, установленными у пользователя в смартфоне.
После полной первой установки при нажатии на иконку приложения Square Photo Blur на тестовом устройстве они обнаружили, что это, по сути, обычная оболочка приложения, которого достаточно, чтобы просто пройти проверку Play Store». Команда Satori включила список вредоносных приложений в отчет и рекомендовала всем, кто ими пользуется, немедленно удалить их. Приложения уже были удалены из магазина Google Play, но пользователи все еще используют их.
| Приложение | PKG Name | Версия | Кол-во установок | Автор/разработчик |
|
Auto Picture Cut |
com.auto.picture.cut.backgr ound.eraser.tool |
4.0.0 | 100 000+ |
mecharcfa(at)gmail.com |
|
Color Call Flash |
com.color.call.flash.tools |
2.0.0 | 50 000+ |
Seay Elizabeth |
|
Square Photo Blur |
com.jack.square.photo.blur.i mage |
2.0.5 | 500 000+ |
Thomas Mary |
|
Square Blur Photo |
com.jobfun.square.photo.blu r.image |
7.0.0 | 500 000+ |
Ward Nadine |
|
Magic Call Flash |
com.magic.call.flash.tools |
2.0.0 | 50 000+ |
Robinson Yolanda |
|
Easy Blur |
com.mary.super.photo.blur.t ool |
6.0.0 | 100 000+ |
Chu Erin |
|
Image Blur |
com.mclain.photo.blur.editor .background |
2.0.5 | 100 000+ |
Myers Jason |
|
Auto Photo Blur |
com.paige.photo.blur.backgr ound |
6.0.0 | 100 000+ |
Taylor Zelma |
|
Photo Blur |
com.scorp.photo.blur.backgr ound |
2.0.3 | 500 000+ |
Swindell Eddie |
|
Photo Blur Master |
com.scott.scorp.photo.blur.b ackgroun |
8.0.0 | 100 000+ |
Myers Jesse |
|
Super Call Screen |
com.super.call.screen.tools |
2.0.0 | 100 000+ |
OConnor Amy |
|
Square Blur Master |
com.robert.square.photo.blu r.image |
6.0.0 | 100 000+ |
Gledhill Janice |
|
Square Blur |
com.craig.square.photo.blur. image |
5.0.0 | 50 000+ |
Johnson Melanie |
|
Smart Blur Photo |
com.james.smart.blur.photo. editor.tool |
2.0.0 | 500 000+ |
Robinson Yolanda |
|
Smart Photo Blur |
com.james.smart.photo.blur. editor.tool |
4.0.0 | 500 000+ |
Tammy Roush |
|
Super Call Flash |
com.super.call.screen.toolz |
2.0.0 | 100 000+ |
Kirk Brian |
|
Smart Call Flash |
com.smart.call.flash.tools |
2.0.0 | 50 000+ |
Davis Betty |
|
Blur Photo Editor |
com.sixgod.photo.editor.blur .image.tool |
2.0.8 | 5 000+ |
Addison Goldie |
|
Blur Image |
com.fancy.photo.editor.blur.i mage.tool |
2.0.6 | 10 000+ |
Alvord Columbus |
В начале 2020 года портал VPNpro предупредил владельцев смартфонов для Android о 24-х потенциально опасных приложениях, которые могут следить за геолокацией пользователя для продажи этих данных рекламодателям. Количество скачиваний довольно не малое — около 382 млн., поэтому очень рекомендуем проверить свой смартфон на наличие установленных приложений и их безопасности из списка ниже и удалить их, если Вы их обнаружите.
Интересно еще и то, что все 24 приложения, которые могут следить за Вашей геолокацией связаны с крупной китайской компанией — Shenzhen HAWK, которая является частью корпорации TLC Corporation с участием государства. Эти приложения запрашивают у владельцев слишком много разрешений, которые в принципе им не нужны для нормальной работы. Например, игры, диктофоны и программы очистки смартфона просят разрешить им совершать звонки, делать фотографии, снимать видео и записывать аудио. Что очень странно и подозрительно. Обращайте внимание перед установкой любого приложения, какие разрешения просит у Вас получить.
Ранее Shenzhen HAWK уже обвиняли в распространении вредоносных приложений. Вот список приложений, которые по мнению VPNpro могут быть опасными (предположительно они собирают большое количество данных пользователей и продают их сторонним третьим лицам без ведома и согласия пользователей):
| Sound Recorder | Super Cleaner | Virus Cleaner 2019 | File Manager |
| Joy Launcher | Turbo Browser | Weather Forecast | Candy Selfie Camera |
| Free VPN | Hi VPN | Candy Gallery | Calendar Lite |
| Super Battery | Hi Security 2019 | Net Master | Puzzle Box |
| Private Browser | Hi VPN Pro | World Zoo | Word Crossy |
| Soccer Pinball | Dig it | Laser Break | Music Roam |
| Word Crush |
Почему так происходит, почему разработчики приложений идут на такие риски и создают и публикуют свои опасные приложения, которые вскоре могут быть уличены в нарушениях и удалены из Google Play? Все просто. Это бизнес и довольно выгодный. В среднем по рынку рекламодатели готовы платить 4 дол. США за 1000 пользователей в месяц, имея доступ к их геолокации, которая ценится больше всего — она позволяет определить местоположение не только с минимальной погрешностью в несколько метров но и этажность местоположения в в большом доме или ТРЦ.
Естественно за это готовы платить. А если компания имеет не 1000, а 1 млн. пользователей — то это уже 4000 дол. в месяц. Ну а 100 мл. — 400 000 дол. в месяц. Не сложно посчитать, что нахождение приложения в магазине Google Play 3 месяца при 100 млн. установок принесет разработчикам 1,2 млн. долларов. С таким бюджетом разрабатывать приложения можно нон-стоп, заменяя удаленные на новые, как только старые будут удалены. Более того, данные могут быть перепроданы не одному рекламодателю, а 2-3 или десяткам и сотням. Тем самым цифры будут еще внушительнее. На момент написания статьи, все эти приложения уже удалены из Google Play, но они все еще могут быть установлены на смартфонах у пользователей.
В начале июля 2020 года компания Evina, специализирующаяся на кибербезопасности, обнаружила в Google Play 25 приложений, которые воровали данные для входа в учетные записи Facebook. Они не пытались продавать вашу геолокацию или показывать Вам рекламу, они просто воровали логины и пароли доступа к аккаунтам Facebook.
В список опасных приложений для смартфонов Android вошли разного типа с разных категорий приложения:
карточные игры, файловые менеджеры, счетчики шагов, фонарики. Все эти приложения были установлены более 2 млн. раз. И все они содержали один и тот же вредоносный код, который при запуске приложения Facebook открывал пользователю поддельную страницу Facebook, где пользователь вводил логи и пароль, которые после отправлялись киберпреступникам для дальнейшего использования аккаунтов в своих целях или перепродажи конфиденциальных данных в Dark Net. Компания datami.ua проводит полноценный пентест для разработчиков приложений на поиск уязвимостей серверов хранения данных для полноценной работы приложений.
В опасный список вошли файловые менеджеры, карточные игры, фонарик, счетчики шагов и другие внешне безобидные программы, которые в общей сложности загрузили более двух миллионов раз. Все они содержали один и тот же вредоносный код, который при запуске приложения Facebook открывал поддельную страницу соцсети и требовал ввести логин и пароль. Указанные данные отправлялись злоумышленникам. Поэтому рекомендуем Вам установить двухфакторную или многофакторную аутентификацию для входа в Facebook. На данный момент все эти опасные приложения для смартфонов Android удалены из Google Play, но все еще работают на многих смартфонах — говориться в сообщении Phone Arena. Вот список приложений, которые могут воровать ваши персональные и конфиденциальные данные, связанные с социальной сетью Facebook:
| Super Wallpapers Flashlight | Video Maker | Super Flashlight | Synthetic Z |
| Padenatef | Color Wallpapers | Solitaire Game | File Manager |
| Wallpaper Level | Pedometer | Accurate Scanning of QR code | Composite Z |
| Contour level wallpaper | Powerfull Plashlight | Classic card game | Screenshot Capture |
| iplayer & iWallpaper | Super Bright Flashlight | Junk file cleaning | Daily Horoscope Wallpapers |
| Wuxia Reader | Plus Weather | Anime Live Wallpaper | iHealth Step Counter |
Основные 5 ошибок, которые допускают пользователи смартфонов на Android, которые могут привести вас к установке опасных приложений:
— не удалять с смартфона не используемые приложения
— оставлять постоянно включенным Bluetooth и NFC
— забывать во время обновлять операционную систему Android от разработчика
— не проверять и не читать разрешения приложений, которые они запрашивают перед установкой
— устанавливать приложения, скачанные у сторонних разработчиков, не на платформе Google Play
Будьте бдительны, не забывайте о своей личной кибербезопасности и защите своих персональных и конфиденциальных данных. Подключайте для своего сайта круглосуточный мониторинг и защиту 24/7 для вашего сайта и будьте уверены в том, что Вас будет очень сложно взломать.
Ваш Datami.
