Введение в проблему безопасности приложений
Многие эксперты в области технологий уверены, что App Store более безопасен по сравнению с Google Play. Некоторые даже утверждают, что скачивание вредоносного приложения из App Store невозможно. Однако это не совсем так. Несмотря на то, что App Store представляет собой защищенную и строго контролируемую экосистему, он не может полностью защитить пользователей от угроз. Исследователи безопасности обнаружили, что хакеры нацелились на ряд приложений в App Store, чтобы распространять вредоносное ПО, которое крадет информацию из скриншотов, сохраненных на устройствах.
Угроза также касается пользователей Google Play
По данным исследователей из Kaspersky, эта кампания вредоносного ПО более продвинута, чем типичные программы для кражи данных. В отличие от банковских троянов или шпионских программ, которые полагаются на социальную инженерию для получения разрешений от пользователей, это вредоносное ПО скрывается внутри на вид легитимных приложений и успешно проходит проверки безопасности как Apple, так и Google.
Основные особенности вредоносного ПО
Одной из отличительных характеристик этого вредоносного ПО является Оптическое Распознавание Символов (OCR). Вместо кражи сохраненных файлов, оно сканирует скриншоты на устройстве, извлекает текст и отправляет информацию на удаленные серверы. После установки вредоносное ПО работает скрытно, часто активируясь лишь после периода бездействия, чтобы избежать подозрений. Оно использует зашифрованные каналы связи для передачи украденных данных своим операторам, что затрудняет отслеживание. Более того, вредоносное ПО распространяется через обманчивые обновления или скрытый код в зависимостях приложений, что позволяет ему избегать начальных проверок безопасности.
Различия в способах распространения на iOS и Android
Способы заражения варьируются между экосистемами Apple и Google. На iOS вредоносное ПО часто внедряется в приложения, которые первоначально проходят строгую проверку Apple, но затем вводят вредоносные функции через обновления. На Android вредоносное ПО может использовать возможности сторонней установки, однако даже официальные приложения Google Play были обнаружены с вредоносными компонентами, скрытыми в SDK (наборы для разработки программного обеспечения), предоставленных сторонними разработчиками.
Кража личной информации: скрытая угроза бесплатных приложений
Объем украденной информации вызывает тревогу. Это вредоносное ПО в первую очередь нацелено на фразы восстановления криптовалютных кошельков, но также может похитить логины, данные для платежей, личные сообщения, информацию о местоположении и даже биометрические данные. Некоторые версии предназначены для кражи токенов аутентификации, что позволяет злоумышленникам получать доступ к аккаунтам даже после изменения паролей.
Приложения, служащие носителями вредоносного ПО, включают ComeCome, ChatAi, WeTink, AnyGPT и другие. Эти приложения варьируются от инструментов для продуктивности до развлекательных и утилитарных. В некоторых случаях мошеннические разработчики создают эти приложения, полностью осознавая цель вредоносного ПО. В других случаях проблема может быть связана с уязвимостью в цепочке поставок, когда законные разработчики неосознанно интегрируют скомпрометированные SDK или сторонние услуги, которые вводят вредоносный код.
Реакция Apple на угрозу
Мы обратились к Apple за комментариями, но не получили ответ до нашего срока. Тем не менее Apple удалила 11 приложений для iOS, упомянутых в отчете Kaspersky, из App Store. Более того, выяснилось, что эти 11 приложений делили кодовые подписи с 89 другими приложениями для iOS, которые ранее были отклонены или удалены за нарушение политик Apple, что привело к отмене аккаунтов их разработчиков.
Ограничения и требования к приложениям
Приложения, запрашивающие доступ к таким данным пользователя, как фотографии, камера или местоположение, должны предоставлять соответствующую функциональность или подвергнуться отклонению. Они также обязаны четко объяснять, как будет использоваться их информация при запросе разрешений от пользователей. Функции конфиденциальности iOS гарантируют, что пользователи всегда контролируют, будет ли их информация о местоположении передана приложению. С начала iOS 14 API PhotoKit, который позволяет приложениям запрашивать доступ к фотогалерее пользователя, добавил дополнительные возможности, позволяя пользователям выбирать только определенные фотографии или видео для передачи приложению, вместо предоставления доступа ко всей библиотеке.
Стандарты проверки приложений в App Store
Руководящие принципы проверки App Store обязывают разработчиков нести ответственность за то, чтобы все компоненты их приложений, включая рекламные сети, аналитические сервисы и сторонние SDK, соответствовали этим стандартам. Разработчики должны тщательно проверять и выбирать эти компоненты. Приложения также должны точно отражать свои практики конфиденциальности, включая практики используемых ими SDK, в своих этикетках конфиденциальности.
В 2023 году App Store отклонил более 1,7 миллиона заявок на приложения за несоответствие строгим стандартам конфиденциальности, безопасности и контента. Он также отклонил 248 000 заявок на приложения, которые были признаны спамом, копиями или вводящими в заблуждение, и предотвратил 84 000 потенциально мошеннических приложений от попадания к пользователям.
Реакция Google на угрозу
Представитель Google сообщил, что все идентифицированные приложения были удалены из Google Play, а разработчики были запрещены. Пользователи Android автоматически защищены от известных версий этого вредоносного ПО благодаря Google Play Protect, который включен по умолчанию на устройствах Android с Google Play Services.
Тем не менее, важно отметить, что Google Play Protect может быть недостаточно эффективен. Исторически сложилось так, что он не является 100% надежным в удалении всех известных вредоносных программ с устройств Android.
Практические советы по защите
1. Используйте надежное антивирусное ПО: Установка надежного антивирусного ПО может добавить дополнительный уровень защиты, сканируя приложения на наличие вредоносного ПО, блокируя подозрительную активность и уведомляя о потенциальных угрозах.
2. Скачивайте приложения только от доверенных разработчиков: Несмотря на то, что вредоносные программы были обнаружены в официальных магазинах приложений, пользователи могут снизить риск, загружая приложения от проверенных разработчиков с хорошей репутацией.
3. Внимательно проверяйте разрешения приложений: Многие вредоносные приложения маскируются под легитимные инструменты, но требуют чрезмерных разрешений, выходящих за рамки их заявленной цели.
4. Обновляйте устройства и приложения: Киберпреступники используют уязвимости в устаревшем программном обеспечении для распространения вредоносного ПО. Всегда обновляйте операционную систему и приложения до последних версий.
5. Будьте насторожены к приложениям с завышенными обещаниями: Многие зараженные вредоносными программами приложения привлекают пользователей предложениями функций, которые кажутся слишком хорошими, чтобы быть правдой.
Заключение: необходимость более строгих мер безопасности
Новая кампания вредоносного ПО подчеркивает необходимость более строгих процессов проверки, постоянного мониторинга поведения приложений после их утверждения и большей прозрачности со стороны магазинов приложений в отношении рисков безопасности. Несмотря на то что Apple и Google удалили вредоносные приложения после их обнаружения, факт, что они попали на платформу изначально, указывает на пробел в существующей системе безопасности. По мере того как киберпреступники совершенствуют свои методы, магазины приложений должны также быстро адаптироваться, иначе они рискуют потерять доверие пользователей, которых они стремятся защитить.
Ваше мнение имеет значение
Считаете ли вы, что магазины приложений должны брать на себя большую ответственность за пропуск вредоносного ПО? Поделитесь своим мнением, написав нам на нашем сайте.
Подписывайтесь на мой бесплатный информационный бюллетень CyberGuy Report, чтобы получать больше советов по технологиям и безопасности.
