Фоторедактор с подпиской

Как приложение фоторедактора из Google Play подписывало пользователей на платные сервисы.

Каждый раз, рассказывая про безопасность на Android, мы советуем скачивать приложения только из Google Play Store — там значительно меньше зловредов, чем за пределами официального магазина. Однако и там они есть. Как же не натолкнуться на что-нибудь нехорошее, скачивая очередное приложение из Google Play? Совет: внимательно следите за тем, какие разрешения требует приложение, и хорошенько подумайте, зачем они ему, прежде чем все разрешить — ну или не разрешить. Сегодняшняя история — как раз про то, чем может быть опасно приложение из Play Store, требующее доступ к вроде бы ненужным ему разрешениям.

Недавно мы обнаружили в Play Store пару не очень полезных программ, выдающих себя за приложения для фотосъемки с набором «улучшалок». Оба приложения провисели в магазине софта Google достаточно долго, чтобы набрать по 10 000 установок. При этом заявленные функции они худо-бедно выполняли — это были обычные программы класса «еще один фоторедактор».

Два почти одинаковых фоторедактора якобы от разных авторов, которые незаметно оформляли платные подписки

Два почти одинаковых фоторедактора якобы от разных авторов, которые незаметно оформляли платные подписки

Единственная деталь, которая могла заставить пользователя насторожиться, — оба приложения запрашивали доступ к уведомлениям, причем настойчиво: пока не согласишься — они не отстанут. В уведомлениях отображается текст всех пришедших сообщений, то есть, получив разрешение, фоторедакторы могли их читать. Обычно доступ к уведомлениям используется для работы с «умными» часами, то есть фоторедактору такое разрешение точно не нужно. Зачем же оно тут?

После установки такой «фоторедактор» собирал информацию (номер телефона, модель смартфона, размер экрана, оператор связи и тому подобное) и отправлял ее на сервер злоумышленников. В ответ же получал список веб-адресов, которые (через несколько редиректов) приводили на страницу оформления платной подписки.

Так выглядят страницы оформления платной подписки

Так выглядят страницы оформления платной подписки

С платными подписками вы наверняка хоть раз сталкивались — либо в виде мелодии гудка, вдруг подключившейся у вас или у кого-то из ваших близких, либо в виде WAP- или СМС-рассылок, которые обычно никому не нужны, но за которые требуют деньги. Чаще всего люди оказываются подписанными на них по неосторожности: где-нибудь не прочел надпись мелким шрифтом – и все, уже платишь за гороскоп. О подключении подписки жертвы обычно узнают только тогда, когда на счету их телефона вдруг раньше срока заканчиваются деньги.

В данном же случае задача зловреда — подписать жертву на платные услуги контент-провайдеров так, чтобы она вообще ничего не заметила, чтобы даже мелкого шрифта видно не было. Для этого он отключает Wi-Fi и через мобильную сеть загружает вредоносные страницы в окне, невидимом для пользователя. Для заполнения нужных полей (например, с номером телефона) в ход идет собранная ранее информация, а если для оформления подписки нужно ввести «капчу», то картинка отправляется на расшифровку (для этого используется специальный сервис). Код подтверждения из SMS перехватывается благодаря доступу к уведомлениям.

Как избежать нежелательных подписок

Довольно сложно с ходу выявить «вредоносность» приложения, когда загружаешь его из официального магазина Google. Тем не менее, способы распознать сомнительное приложение и защититься от такой вот недокументированной функциональности есть.

  • Внимательно изучайте список разрешений, которые требуются программе для работы. У нас есть отдельный пост про разрешения в Android, очень рекомендуем с ним ознакомиться. Если какая-то программа требует доступ к опасным разрешениям, которые, на ваш взгляд, ей ни к чему — смело отказывайте. Если настаивает — удаляйте.
  • Используйте надежнее защитное решение. Например, Kaspersky для Android умеет детектировать такие «подписочные страницы», предупреждая вас об опасности.
  • Наконец, некоторые сотовые операторы позволяют через личный кабинет отключить саму возможность оформления таких подписок, открыв отдельный «контентный счет» или подключив услугу блокирования подписок.
Советы