Специалисты компании «Trend Micro» в апреле этого года провели анализ приложений для операционной системы Android. В 60 приложениях с более чем 100 миллионами загрузок было обнаружено вредоносное программное обеспечение (ПО).
Магазин Google Play печально известен тем, что укрывает приложения, содержащие вредоносное ПО, рекламное ПО или некоторые виды шпионского или флисового ПО. Малоизвестный факт заключается в том, что хакеры все чаще обращаются к предустановленным приложениям, чтобы совершать свои злодеяния, но исследователи снова пытаются привлечь внимание к этой растущей тенденции. Миллионы доступных телефонов Android поставляются с большим количеством предустановленных приложений, и хакерам нужно взломать только одно из них. Однако решение этой проблемы является гораздо более сложной задачей по сравнению с мошенническими приложениями, которые попадают в Play Store.
Злоумышленники регулярно используют различные лазейки в процессе проверки приложений Google, чтобы создавать приложения, которые крадут учетные данные для входа или флисовые программы, которые вымогают у пользователей до 400 миллионов долларов в год, обманом заставляя их подписываться на дорогостоящие подписки в приложениях.
Исследователи «Trend Micro» бьют тревогу в связи с растущей тенденцией к использованию Android-устройств с предустановленным вредоносным программным обеспечением. Хотя вы можете легко удалить приложение, которое вы загрузили из Play Store, справиться с вредоносными программами, встроенными в системные приложения или прошивку устройства, является гораздо более сложной задачей.
Открытая природа Android позволяет производителям создавать широкий спектр моделей телефонов и нацеливать потребителей, заботящихся о цене, на более доступные варианты, что открывает двери для хакеров, которые могут установить вредоносный код еще до того, как эти устройства покинут заводской цех.
И этот риск также распространяется на другие устройства Android — все, от смарт-часов до планшетов, телевизионных приставок и смарт-телевизоров. Старший исследователь «Trend Micro» Федор Ярочкин сказал:
«Предустановленные вредоносные программы стали гораздо более распространенными в последние годы отчасти из-за гонки на выживание среди разработчиков мобильных прошивок. Как только стало невыгодно продавать прошивку, многие стали предлагать ее бесплатно».
Многие встроенные программы, проанализированные «Trend Micro», содержали фрагменты кода, описанные как «бесшумные плагины». На данный момент исследователи обнаружили более 80 фрагментов, но лишь немногие из них получили широкое распространение. Самые популярные из них продаются подпольно, реализуются в социальных сетях Facebook и YouTube, а также через различные блоги.
Некоторые из этих плагинов позволяют кибер-преступникам «сдавать в аренду» устройства Android на срок до пяти минут и использовать их для кражи учетных данных для входа или другой конфиденциальной информации пользователя. Другие ПО позволяют загружать дополнительные вредоносные программы на зараженное устройство.
По оценкам специалистов, по всему миру используются миллионы зараженных устройств, большая часть которых сосредоточена в Восточной Европе и Юго-Восточной Азии. Даже сами преступники утверждают, что в 8 900 000 Android-устройств загружены их бесшумными плагины. При анализе установлено, что вредоносное ПО присутствовало в телефонах как минимум 10 поставщиков, большинство из которых китайские.
Компания Google уже много лет знает о предустановленных вредоносных программах для Android. Тем не менее, она не может легко решить проблему из-за того, что у компании очень мало контроля над сложной цепочкой OEM-поставок Android. Более дешевые телефоны, как правило, используют платформу Android с открытым исходным кодом (AOSP) и имеют от 100 до 400 предустановленных приложений. Все, что нужно злоумышленнику — это заразить одно из них.
Не помогает и то, что 225 производителей устройств регулярно оставляют диагностическое программное обеспечение на телефонах Android, что, по сути, обеспечивает удаленный доступ через черный ход для шпионских программ и инструментов цензуры. Такое поведение наблюдается во многих китайских брендах Oppo, OnePlus, Realme и Xiaomi. Было обнаружено, что некоторые из них, такие как принадлежащая Китаю Gigaset, которая продает телефоны в Евросоюзе, скрыли автоматический установщик вредоносного ПО в приложении для обновления системы.
Еще в 2019 году исследователь «Google Project Zero» Мэдди Стоун сообщила о существовании ботнета для мошенничества с SMS и рекламой под названием Chamois, который в предыдущие годы затронул не менее 21 000 000 устройств Android с помощью предустановленного вредоносного ПО. Компания обнаружила, что поставщики часто неосознанно включают код Chamois в свои дистрибутивы Android, потому что их легко обмануть, заставив поверить, что это законный рекламный сервис.
С тех пор Google приложил немало усилий для совершенствования «Google Play Protect» и расширил свои возможности для мониторинга предустановленных приложений на устройствах Android на предмет вредоносного поведения. Тем не менее, хакеры продолжают находить способы обойти эти средства защиты и даже разрабатывают прибыльные бизнес-модели в Даркнете — доступ к этим вредоносным службам стоит от 2000 до 20 000 долларов.
Специалисты рекомендуют пользователям для защиты своих данных перейти на более высокий уровень и придерживаться таких брендов, как Samsung и Google, которые обеспечивают лучшую безопасность цепочки поставок.
Кстати, большинство мобильных антивирусных приложений неэффективны против реальных угроз безопасности. Поэтому их не стоит устанавливать вообще. Конечно, если только вы не хотите оказаться среди тысяч пользователей, скачавших вредоносное ПО для кражи паролей, замаскированное под антивирусные инструменты.
Ранее, в статье «США обвинили ЮАР в поставках боеприпасов в Россию», мы сообщали информацию от посла США в ЮАР. Призываем наших читателей пользоваться только проверенными источниками информации и не поддаваться психологическому давлению российских захватчиков. Новая информация оперативно публикуется на нашем Telegram-канале.
Вы можете поделиться этой новостью: