В одном из постов мы уже рассказывали про опасные обновления, когда пользователю при переходе на сайт предлагается обновить ПО Opera Mini, Flash Player и т.д. Особенно это актуально для пользователей смартфонов на базе Android, так как эта платформа позволяет легко устанавливать приложения из сторонних источников. Один из способов обезопасить себя – установка приложений только из Play Market, Amazon App Store, Yandex.Store и других надёжных источников. Но даже установка приложений из Play Market не гарантирует безопасности.
Сейчас часть приложений в Play Market не просто является клоном популярных приложений (или плагинов и тем для популярных приложений), но при этом обладает посторонней функциональностью, используемой для фишинга и агрессивной рекламы.
Например, при поиске тем для популярной программы работы с смс GoSMS Pro на первых позициях результатов поиска присутствуют темы от автора Workshop Theme:
То, что приложение имеет недокументированные функции, видно уже по разрешениям, которые оно запрашивает перед началом установки:
Очевидно, что для программы, устанавливающей новую тему оформления, такие полномочия избыточны.
При установке темы пользователю устанавливается также дополнительный сервис, который показывает рекламу из партнерской программы AirPush прямо в строке уведомлений. И, что хуже всего, он также создает фишинговые уведомления о якобы пришедших смс:
При нажатии на любое такое уведомление открывается браузер и происходит скачивание apk-файла. Подобные «обновления» для Android, предлагаемые в рекламе, в большинстве своем являются подделкой под Google Play.
Одно из таких приложений при установке собирает данные о смартфоне, шифрует их при помощи AES на содержащемся в приложении ключе и отправляет на удаленный сервер:
После этого оно отправляет несколько смс на короткий номер, что приводит к списанию средств со счета пользователя:
К сожалению, далеко не все антивирусы детектируют подобные приложения.
По данным сервиса VirusTotal на 15.01.2013, семпл с темой GoSMS Pro детектируют 7 антивирусов из 45.
Семпл Fake Play Market на момент сканирования 15.01.2013 по данным сервиса VirusTotal детектируют 5 антивирусов из 46.
Чтобы не стать жертвой подобных атак, помните:
- Перед установкой приложения из Play Market читайте отзывы других пользователей. Зачастую другие пользователи уже попались на подобную уловку и сообщают об этом в комментарии к приложению. Впрочем, злоумышленники тоже могут писать положительные комментарии и ставить высокие оценки.
- При установке приложений внимательно просматривайте список запрашиваемых разрешений.
Само по себе наличие рекламы в формате AirPush не означает того, что приложение является вредоносным, но подобную рекламу злоумышленники часто используют для фишинга.
Считаете ли вы, что программы с подобной функциональностью – вредоносные, и что с ними нужно бороться?