Блог о безопасности

Приложения для Android с нежелательной функциональностью

1 февраля 2013, 15:30

В одном из постов мы уже рассказывали про опасные обновления, когда пользователю при переходе на сайт предлагается обновить ПО Opera Mini, Flash Player и т.д. Особенно это актуально для пользователей смартфонов на базе Android, так как эта платформа позволяет легко устанавливать приложения из сторонних источников. Один из способов обезопасить себя – установка приложений только из Play Market, Amazon App StoreYandex.Store и других надёжных источников. Но даже установка приложений из Play Market не гарантирует безопасности.


Сейчас часть приложений в Play Market не просто является клоном популярных приложений (или плагинов и тем для популярных приложений), но при этом обладает посторонней функциональностью, используемой для фишинга и агрессивной рекламы.
Например, при поиске тем для популярной программы работы с смс GoSMS Pro на первых позициях результатов поиска присутствуют темы от автора Workshop Theme:



То, что приложение имеет недокументированные функции, видно уже по разрешениям, которые оно запрашивает перед началом установки:



Очевидно, что для программы, устанавливающей новую тему оформления, такие полномочия избыточны.


При установке темы пользователю устанавливается также дополнительный сервис, который показывает рекламу из партнерской программы AirPush прямо в строке уведомлений. И, что хуже всего, он также создает фишинговые уведомления о якобы пришедших смс:



При нажатии на любое такое уведомление открывается браузер и происходит скачивание apk-файла. Подобные «обновления» для Android, предлагаемые в рекламе, в большинстве своем являются подделкой под Google Play.



Одно из таких приложений при установке собирает данные о смартфоне, шифрует их при помощи AES на содержащемся в приложении ключе и отправляет на удаленный сервер:



После этого оно отправляет несколько смс на короткий номер, что приводит к списанию средств со счета пользователя:



К сожалению, далеко не все антивирусы детектируют подобные приложения.


По данным сервиса VirusTotal на 15.01.2013, семпл с темой GoSMS Pro детектируют 7 антивирусов из 45.


Семпл Fake Play Market на момент сканирования 15.01.2013 по данным сервиса VirusTotal детектируют 5 антивирусов из 46.


Чтобы не стать жертвой подобных атак, помните:

  1. Перед установкой приложения из Play Market читайте отзывы других пользователей. Зачастую другие пользователи уже попались на подобную уловку и сообщают об этом в комментарии к приложению. Впрочем, злоумышленники тоже могут писать положительные комментарии и ставить высокие оценки.
  2. При установке приложений внимательно просматривайте список запрашиваемых разрешений.
    Само по себе наличие рекламы в формате AirPush не означает того, что приложение является вредоносным, но подобную рекламу злоумышленники часто используют для фишинга.

Считаете ли вы, что программы с подобной функциональностью – вредоносные, и что с ними нужно бороться?

3 комментария
Подписаться на комментарии к посту

сейчас развелось очень много таких сайтов, и у вы не все люди знаю что нужно качать только с офф сайтов. Те кто мало связан с Интернетом и не подозревают сколько в нем таиться угрозы