+7 495 980 0770

Утилита подколодная: как в сторы попадают вредоносные клоны приложений

App Store опубликовал несколько мошеннических приложений, якобы выпущенных Сбербанком. Из-за санкций у российских пользователей выше риск нарваться на вредоносные клоны мобильных сервисов, тем более что официальные сторы и без того не отличались надежной системой модерации. Почему Google и Apple мучают доработками игроделов вместо жуликов, чем чревата установка фальшивых приложений и откуда теперь их скачивать без опасений за безопасность, разбирались «Известия» вместе со специалистами по кибербезопасности и разработчиками.

Как забыли о санкциях

Приложение «Сбербанк Онлайн», ежедневная аудитория которого оценивалась в 32 млн пользователей, удалено из Google Play и App Store из-за санкций. На этом пытаются озолотиться дельцы на сайтах объявлений, выставляя на продажу айфоны с предустановленным мобильным банком за сотни тысяч рублей.

Мошенники предложили более доступный вариант: копии приложения крупнейшего в России банка, но, конечно, фальшивые. Сначала они распространялись на сайтах со взломанными утилитами и играми, а также в Telegram. А на днях клоны сервисов «Сбера» появились в App Store, о чем предупредил сам банк. Помимо почти одноименного аналога «Сбербанка Онлайна», злоумышленники разместили в сторе приложения под названиями Sberbank Mobile banking, Sberbank on-line banking, Sberbank Conference.

— Появление фишинговых приложений Сбербанка в App Store — явление удивительное само по себе. На сбой в системе не похоже, — отмечает в беседе с «Известиями» основатель и СЕО компании eXpress Андрей Врацкий. Он объясняет, что модерация приложений перед их публикацией в магазинах — процесс многоуровневый, который включает в себя ряд проверок разной направленности. Один из первых ее этапов — проверка по санкционным спискам, причем автоматическая.

Как это делали раньше

И до украинских событий мошенники наживались на россиянах через мобильные приложения. В 2019 году в App Store выложили клон приложения «Мой налог», который к официальным налоговым органам не имел никакого отношения. В начале 2022 года в топ-10 каталога Google Play попал фейковый сервис «Газпром Инвестиции». Пользователям обещали, например, «кусочек народного достояния» в обмен на инвестиции в «Северный поток – 2».

Показательно, что Google Play опубликовал 19 подделок приложений собственного сервиса — Google Maps. На это обратил внимание эксперт по кибербезопасности ESET Лукас Стефанко. Копии приложения скачали 50 млн раз.

[...]

Чего еще бояться

[...]

Директор департамента инфраструктурных решений и сервиса Oberon Сергей Сидоров подчеркивает, что установка непроверенных приложений ставит под угрозу безопасность данных, в том числе сохраненных на устройстве банковских карт. Некоторые вредоносные приложения одновременно зарабатывают на рекламе и крадут сведения о пользователе.

— Сначала пользователь устанавливает скомпрометированное ПО, несущее определенный функционал, например, показывает рекламу и монетизируется. Так ведет себя большинство бесплатных приложений, и человек не видит рисков, — объясняет Сергей Сидоров. — Далее это ПО обновляется и появляется возможность удаленного управления мобильным устройством и данными пользователя.

Есть и шпионские приложения, обладающие широким набором функций: прослушиванием и записью звонков в прямом эфире, звука вокруг, журналом вызовов IP-телефонии, записью видео с камеры или чтением, удалением и отправкой SMS-сообщений, писем, коротких сообщений в мессенджерах и соцсетях, просмотром и отслеживанием местоположения, сбором паролей, просмотром веб-страниц, адресной книги, календаря и заметок пользователя — такой внушительный список приводит собеседник «Известий».

А не обманывают ли нас

Возникает резонный вопрос: почему Google и Apple размещают эти приложения. Анализ загружаемого разработчиком приложения на соответствие его исходного кода требованиям безопасности 100-процентной гарантии не дает, признает директор департамента инфраструктурных решений и сервиса Oberon.

По его словам, ручные проверки начинаются только после появления жалоб, при этом они достаточно длительные. «Всё это время скомпрометированное приложение по-прежнему работает на устройстве и подвергает рискам пользователя», — отмечает Сергей Сидоров.

Если сравнивать самые большие магазины приложений — Google Play и App Store, то мошенничеств больше в первом, считает начальник отдела информационной безопасности «СёрчИнфом» Алексей Дрозд.

В экосистеме на базе OS Android допустимо использование альтернативных магазинов, что тоже способствует распространению вредоносного ПО, обращает внимание гендиректор ITCOM Security Максим Вирченко. У Apple расчет только на один стор, однако и «яблочный» сервис размещает подделки: он проводит детальную проверку приложения уже после его размещения. Эксперт напоминает, что нашумевший клон «Сбербанк Онлайн» размещен именно в App Store.

Пока приложения мошенников беспрепятственно попадают в рейтинг самых популярных, разработчики мобильных игр, например, жалуются на многократные требования доработки своих приложений — например, из-за сомнительных нарушений возрастного ценза.

[...]

Подробнее в материале