Google остался в дураках

Мобильная карточная игра DURAK заражала смартфоны на Android

Алексей Короткин, Дмитрий Бевза
Мобильная карточная игра DURAK вскрыла проблему вредоносного ПО для Android, затронувшую миллионы пользователей Google по всему миру. От недостаточно тщательной проверки приложений перед публикацией в Google Play пострадали как сами пользователи, так и репутация официального магазина приложений.

О подозрительном поведении игры на форуме антивирусной компании Avast сообщил один из пользователей. Исследователь проблем сетевой безопасности Филипп Читри сначала не придал сообщению особого значения, однако в процессе разбирательства выяснилось, что описываемой вредоносной программой заражены одни из самых популярных приложений в магазине Google Play.

Так, DURAK, как показывает сам магазин, установили от 5 до 10 млн пользователей. Еще два популярных приложения — это IQ test и Russian History. В настоящее время Avast передали в Google сведения о зараженных приложениях, и они уже удалены из Google Play, однако пользователь, сообщивший о вредоносном ПО на форуме, говорит о множестве других приложений, и все они заражены одним и тем же вирусом.

Принцип работы вредного кода заключается в демонстрации пользователю окна уведомления с ложным предупреждением при каждой разблокировке экрана смартфона. Сообщения могут быть о том, что устройство заражено, срок его действия истек, а также что на телефон закачано большое количество порно. При этом пользователю будет предложено совершить действие (нажать на кнопку или ссылку), чтобы решить проблему, после чего в браузере будет открыта страница, через которую на телефон будет установлено другое вредоносное ПО, которое отсылает платные SMS или собирает доступную персональную информацию о пользователе.

Вредоносная часть работает достаточно хитро: после установки приложения она не проявляет никакой активности до перезагрузки устройства или в течение нескольких дней (иногда до 30 дней). Когда смартфон начинает вести себя странно, пользователь уже не может идентифицировать приложение, которое стало причиной этого.

Интересно, что часть ссылок в ложных сообщениях ведет на легальное ПО. Например, одной из мишеней стала антивирусная компания Quihoo 360. Вряд ли производитель хотел продвигать свой продукт подобным образом, однако рекламодатель не всегда может отследить источник установок своего приложения и проверить его качество, так как на этом рынке трафик сейчас продается и перепродается не всегда чистоплотными поставщиками довольно диким образом. Сейчас пострадавшая компания проводит расследование по данному факту.

Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского», уверен, что в случае с игрой DURAK можно говорить о «русском» следе, так как один из доменов (ad1.mads.bz), связанных с показом рекламы, был зарегистрирован на некую Nadezhda Ivanova.

«Кроме того, исходя из данных, которые мы получаем из Kaspersky Security Network, большинство атак пришлось именно на российских пользователей», — сообщил эксперт и добавил. — В первую неделю наблюдений мы зафиксировали более 10 тыс. попыток заразить наших пользователей. Это довольно много».

Проблема мошенничества с приложениями в Google Play (так называемого фрода, от англ. fraud) — не нова. Дело в том, что в отличие от Apple Google не проверяет тщательно каждое приложение перед публикацией. Также ПО может быть установлено на Android-смартфоны пользователей без участия магазина Google Play просто в виде скачивания и запуска файла-контейнера. Устройства под управлением iOS могут получать приложения только из App Store. Безопасность была принесена в угоду более быстрой публикации и росту количества приложений в Google Play, чтобы успешнее конкурировать с Apple.

Задача была выполнена: приложений в Google Play — больше, однако теперь приходится за это расплачиваться, но впервые проблема достигла таких масштабов.

Первыми от фрода пострадали разработчики мобильных приложений для Android и сама корпорация Google, так как вредоносное ПО на смартфонах пользователей уже продолжительное время применяется для «скликивания» рекламных бюджетов в контекстных рекламных сетях AdWords и AdMob. Вторая пострадала от фрода особенно сильно. По поводу жалоб мелких рекламодателей и разработчиков Google предпочитает отмалчиваться.

Страдает также и репутация Google и платформы Android, так как пользователи не хотят заботиться о своей безопасности, не устанавливают антивирусы и верят всем сообщениям смартфона, при этом телефон все чаще используется не только для авторизации в различных веб-сервисах, но и для подтверждения финансовых операций через SMS.

Наиболее сложные вирусы могут не только перехватывать SMS банка, скрывая их от владельца смартфона, но и формировать платежи на счета киберпреступников через приложения мобильного банкинга. Конечно, подобные вирусы не распространяются массово, однако наличие таких массовых зараженных приложений, как DURAK, — это всегда открытый «черный ход» на устройстве потенциально интересной преступникам жертвы.

Ситуация с DURAK'ом, скорее всего, получит большую огласку, и хочется верить, что теперь в Google будут вынуждены предпринять какие-то серьезные меры для изменения ситуации.

В компании ESET Russia считают, что вредоносные-приложения в Google Play — это хорошо известная проблема, а число поддельных и/или вредоносных приложений на Google Play будет только расти.

«Платформа Android вообще «пользуется успехом» у злоумышленников: в настоящее время на нее ориентировано до 99% известных мобильных угроз. В частности, в прошлом году в Google Play появился поддельный антивирус Virus Shield. Он продавался за $3,99 и за неделю стал лидером продаж среди новинок и третьим в списке лучших платных приложений. При этом от вирусов он не защищал вообще — приложение могло только менять иконку по клику. Более 10 тыс. пользователей заплатили за фальшивку $40 тыс. в течение недели.

Главная проблема в том, что Google Play не проверяет досконально новые приложения. Специалисты площадки только детектируют вредоносную активность.

Если приложение ее не проявляет или вредоносный функционал качественно замаскирован, у ПО есть все шансы появиться в открытом доступе.

Проблему отчасти решают антивирусы, которые действительно защищают от вирусных угроз и позволяют провести проверку безопасности и контроль приложений. С другой стороны, даже самое технически совершенное ПО не исключает влияния человеческого фактора», — сообщили «Газете.Ru» в ESET Russia.

По мнению антивирусного эксперта «Лаборатории Касперского» Дениса Легезо, большинство мобильных антивирусов пользуются собственной облачной репутационной базой файлов и URL-адресов.

«Таким образом, сначала должна быть заблокирована загрузка с сайта авторов ПО, предупреждающая о якобы найденных на устройстве уязвимостях. Вместо него пользователь увидит информацию антивируса о том, что браузер пытается открыть небезопасную страницу. Если же по каким-то причинам URL не отмечен в репутационной базе разработчика защитного ПО как опасный, то может быть остановлена последующая загрузка непосредственно вредоносного файла по ссылке», — сообщил «Газете.Ru» эксперт «Лаборатории Касперского».