Как вирусы проникают на Android-смартфоны через магазин приложений

Смартфоны в опасности

В век информационных технологий даже самые непродвинутые пользователи гаджетов давно запомнили простую инструкцию — если не хочешь подцепить вирус, нельзя пользоваться непроверенными источниками. К сожалению, хакерские техники не стоят на месте, и теперь владельцы смартфонов Android рискуют заразиться даже после скачивания из официального магазина Google Play Store, сообщает портал Bleeping Computer.

Если принять во внимание, что устройствами на базе Android пользуются около 80% населения Земли, то масштабы этой проблемы становятся куда опаснее. А причиной массовых заражений становятся специальные вирусы, которые называются дропперы (от англ. dropper — «бомбосбрасыватель»).

Дропперы относятся к тем вредоносным программам, которые тайно заражают устройство другими вирусами, спрятанными в теле дроппера.

Такой метод заражения проходит в несколько этапов и плохо распознается защитными программами. Как рассказал «Газете.Ru» руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов, дропперы, в отличие от классических вирусов, сами по себе не ведут деструктивной или вредоносной деятельности, но являются неотъемлемой частью начальных этапов многих вирусных атак.

«Дроппер ведет себя как обычное ПО, взаимодействует с пользователем, выполняет заявленные функции, но, кроме этого, несет в своем коде «полезную нагрузку». Как правило, эта полезная нагрузка зашифрована и не может быть детектирована на этапе стандартной антивирусной проверки файла. После запуска самого дроппера, полезная нагрузка извлекается в отдельный файл (сбрасывается). Отсюда и название данного семейства вирусов. Кроме того, дроппер может быть использован для маскировки работы вредоносного кода, что дополнительно осложняет детектирование», — пояснил эксперт.

В последнее время дропперы получили широкое распространение, так как пользователи зачастую не знают, что в их смартфоне появился троян. Кроме того, подцепить дроппер может любой человек, скачивающий приложения из магазина Play Store.

Когда такой вирус интегрирован в мобильное приложение и подается на одобрение в Play Store, защитные системы Google не видят в нем угрозы и выставляют программу в магазине для общего доступа.

Ситуацию осложняет тот факт, что на смартфонах редко устанавливаются современные антивирусные программы, которые могли бы вовремя обнаружить угрозу. Кроме того, согласно данным исследователей Avast Threat Labs, некоторые гаджеты на базе Android, не прошедшие обязательную сертификацию Google, поставляются на рынок с уже предустановленными дропперами внутри.

Трюк с дропперами часто используется для установки банковских троянов.

По данным ИБ-исследователей, количество заражений с помощью дропперов начало расти в мае 2017 года.

Последний крупный всплеск был зафиксирован в январе 2018 года — тогда зловред Exobot распространился среди пользователей в Австрии, Великобритании, Нидерландах и Турции, скачавших зараженные приложения в Google Play. Банковские трояны атакуют приложения мобильного банкинга, получая данные карты пользователя и выкачивая деньги с его счета.

По словам технического директора Check Point Software Technologies Никиты Дурова, в июне 2018 была зафиксирована высокуа активность загрузчика Dorkbot, который затронул 7% организаций по всему миру и поднялся с восьмого на третье место в списке самых активных вредоносных программ по версии Check Point. Dorkbot удаленно выполняет код через оператора, а также скачивает дополнительное вредоносное ПО на уже инфицированную систему. Основная цель вредоноса — охота за критической информацией и запуск DDoS-атак.

Вирус, который не видно

Пользователи техники Apple могут чувствовать себя чуть более защищенными от вирусов-дропперов, так как App Store предъявляет более строгие требования к приложениям и проводит более тщательную проверку, прежде чем допустить программу в магазин. Кроме того, Apple не разрешает приложениям на iOS скачивать, устанавливать и запускать какой бы то ни было код, что было бы неплохо перенять их конкурентам из Google.

В рамках борьбы с дропперами Google запустила сервис Play Protect, который постоянно сканирует приложения в официальном магазине приложений на предмет подозрительной активности. Тем не менее, эксперт Гетен ван Димьен из ThreatFabric, считает эту меру неэффективной.

«Приложения с дропперами крайне трудно вычислить. Как вы можете догадаться, злоумышленники прикладывают очень много усилий, чтобы их не раскрыли», — заявил ван Димьен.

По мнению эксперта, Google стоит усилить меры безопасности и проводить более подробные тесты на стадии допуска приложения в магазин, так как в интернете можно найти большое количество информации о дропперах, которые помогли бы компании без труда распознавать угрозу.

«Что интересно, мы наблюдаем, как многие антивирусы также не справляются с выявлением дропперов. Это значит, что данный вопрос следует публично обсуждать в целях повышения осведомленности», — заключил ван Димьен.

Пока же абсолютную защиту от дропперов еще не придумали, эксперты советуют соблюдать три главные рекомендации — использовать современное антивирусное ПО, устанавливать приложения только с официального сайта разработчика или из официальных магазинов, а при загрузке ознакомиться с отзывами и репутацией приложения.