Фальшивое приложение слева, настоящее справа
В каталоге Google Play вполне реально зарегистрировать вредоносное приложение и распространить его на огромную аудиторию пользователей Android-смартфонов. Это было известно и раньше, и вот теперь очередное подтверждение: более миллиона пользователей скачали из «защищённого» и «безопасного» каталога фальшивое приложение WhatsApp.
Скачало бы и больше, но 3 ноября 2017 года фальшивку обнаружили бдительные пользователи Reddit. Разумеется, после этого приложение удалили из каталога.
Приложение под названием Update WhatsApp Messenger само по себе запрашивало минимальные разрешения (только доступ к интернету), но фактически является рекламной обёрткой для настоящего приложения, то есть это зловред типа ad wrapper.
На скриншоте показано, что программа прописывается в автозагрузку.
На следующем скриншоте внизу — программный код, который, судя по всему, отвечает за скачивание настоящего клиента WhatsApp Android. Он тоже называется whatsapp.apk.
Разработчики применили хитрый трюк, чтобы выдать себя за оригинальную компанию WhatsApp Inc. Как видно на следующем скриншоте, в конце названия компании WhatsApp Inc. добавлены два байта: 0xC2 0xA0, которые образуют невидимый пробел. Таким образом, со стороны выглядит, что разработчик реальный.
После установки на смартфоне программа пытается скрыть следы своего существования, У неё нет зарегистрированного названия в системе и прозрачная пустая иконка. В списке приложений она выглядит следующим образом:
Зловред не делает на телефоне ничего особо вредоносного, если не считать показа назойливой рекламы. Вот несколько скриншотов из работающей программы и экрана выбора сервера обновления: 1, 2, 3, 4. Судя по интерфейсу, разработчики не пользовались услугами дизайнера, а у них самих не самый совершенный вкус в части выбора цветов для оформления.
Не каждый пользователь сразу поймёт, откуда на экране смартфона взялась реклама и какую программу нужно удалить. У приложения полноценные права в системе, если пользователь собственноручно установил его. Кроме того, этот ad wrapper скачал и установил настоящее приложение WhatsApp, так что не сразу очевидно, что сам остался работать в системе.
Можно предположить, что аферисты заработали немалую сумму, подсадив такого «трояна» на телефоны более чем миллиона пользователей. Если им удалось заработать на показе баннеров хотя бы несколько долларов с каждого аппарата, то уже выходит несколько миллионов долларов.
Распространить программу на миллион и более смартфонов Android очень сложно иным способом, кроме как через официальный каталог Google Play. Пользователи наивно полагают, что здесь они защищены от зловредов. Сама компания Google в описании антивируса Play Protect заявляет, что «безопасность всех приложений Android тщательно проверяется перед тем, как они появятся в Google Play Store. Мы проверяем каждого разработчика в Google Play и блокируем тех, кто нарушает наши правила. Так что ещё до скачивания приложения вы знаете, что оно было проверено и одобрено». Антивирус Play Protect ежедневно сканирует 50 млрд приложений для гарантии, что в новых версиях программ после обновления не появилось ничего подозрительного.
Как видим, эта защита не очень хорошо справляется со своими задачами. По крайней мере, этот ad wrapper сумел избежать детектирования сканером Play Protect.
В сентябре 2017 года специалисты Google рассказывали о системе ИИ, которая используется в антивирусе Play Protect. Для обучения нейросети используется в том числе телеметрия с пользовательских устройств: статистика по количеству установок и удалений программ, поведение программы и т.д. Но компания ещё тогда признавала, что ИИ пока не завершил процесс обучения, хотя прогресс налицо. Если весной 2017 года ему удавалось корректно определять всего 5% зловредов из тестовой выборке, то к сентябрю показатель увеличился до 55%. Разработчики говорили, что благодаря антивирусной активности Google за год снизилась доля пользователей Android, на смартфонах которых установлено то или иное вредоносное обеспечение. На начало года таких было 0,6%, а в сентябре — 0,25%. Таким образом, антивирусная безопасность на устройствах Android гораздо лучше, чем на десктопных ПК, считают специалисты Google.
Автор: Анатолий Ализар