Зловреды в Google Play: более 600 миллионов скачиваний в 2023 году

Рассказываем про несколько недавних случаев, когда Android-зловреды проникали в самый официальный из официальных магазинов приложений — Google Play.

Зловреды в Google Play: более 600 миллионов скачиваний в 2023 году

Обычно пользователи считают, что устанавливать приложения из Google Play безопасно. Ведь это самый официальный из всех официальных магазинов, и все приложения в нем проходят тщательную проверку модераторов Google, верно?

Однако важно помнить о том, что в Google Play на данный момент существует более 3 миллионов уникальных приложений, большинство из которых регулярно обновляются. Для того чтобы действительно тщательно проверить все эти программы, недостаточно ресурсов даже одной из самых богатых и могущественных корпораций мира.

Создатели вредоносных приложений это прекрасно понимают и выработали ряд тактик, которые позволяют им регулярно пропихивать свое «творчество» в Google Play. В этом посте мы рассмотрим самые громкие случаи 2023 года, когда в официальном магазине Android обнаруживали вредоносные приложения — с суммарным количеством загрузок более 600 000 000. Поехали!

50 000 загрузок: зараженное приложение iRecorder и прослушка пользователей

Начнем с не очень масштабного, но достаточно интересного и весьма показательного случая, связанного с приложением iRecorder. Это ничем особенно не выделяющееся приложение для записи экрана Android-смартфона было загружено в Google Play в сентябре 2021 года.

Но уже в августе 2022 года разработчики приложения добавили в него вредоносную функциональность. В приложении появился код из трояна удаленного доступа AhMyth, после чего смартфоны всех установивших приложение пользователей начали каждые 15 минут записывать звук с микрофона и отправлять его на сервер создателей приложения. К моменту обнаружения зловреда исследователями в мае 2023 года у приложения iRecorder было уже более 50 000 загрузок в Google Play.

Этот пример демонстрирует один из способов, которыми вредоносные приложения пробираются в Google Play. Сначала киберпреступники загружают в магазин безобидное приложение, которое заведомо пройдет все проверки модераторов. А уж после того, как у приложения сформируется своя аудитория и какая-никакая репутация — на это могут уйти месяцы и даже годы, — при загрузке в Google Play очередного обновления приложения в него добавляют вредоносные функции.

620 000 загрузок: подписчик Fleckpe

В том же мае 2023 года наши эксперты обнаружили в Google Play несколько приложений, зараженных трояном-подписчиком Fleckpe. К тому моменту их скачали более чем на 620 000 устройств. Интересно, что эти приложения размещались от имени разных разработчиков. И это — еще одна тактика, которой часто пользуются злоумышленники: они создают в магазине множество аккаунтов разработчиков, так что, даже если некоторые из них будут заблокированы модераторами, киберпреступники просто загрузят похожее приложение в другой аккаунт.

Приложения в Google Play, зараженные трояном-подписчиком Fleckpe

Приложения в Google Play, зараженные трояном-подписчиком Fleckpe

При запуске зараженного приложения на смартфон загружалась основная вредоносная нагрузка, после чего троян связывался с командным сервером и передавал на него информацию о стране и сотовом операторе. С учетом этих сведений командный сервер выдавал трояну инструкции для дальнейших действий. Затем Fleckpe в невидимом для пользователя браузере открывал веб-страницы с платными подписками и, перехватывая коды подтверждения из входящих уведомлений, подписывал пользователя на ненужные ему услуги, оплачиваемые через счет сотового оператора.

1 500 000 загрузок: китайский шпион

В июле 2023 года в Google Play были обнаружены два файловых менеджера, один с 1 000 000 загрузок, а второй — с 500 000. Несмотря на заверения разработчиков в том, что приложения не собирают никаких данных, оба приложения, по данным исследователей, передавали на серверы в Китае массу информации о пользователе: контакты, геолокацию в реальном времени, данные о модели смартфона и сотовой сети, фотографии, аудио- и видеофайлы и так далее.

Файловые менеджеры в Google Play, зараженные шпионским ПО

Файловые менеджеры в Google Play с китайским шпионом внутри. Источник

Чтобы избегать удаления пользователем, зараженные приложения скрывали свои иконки с рабочего стола — еще одна распространенная тактика создателей мобильных зловредов.

2 500 000 загрузок: реклама в фоновом режиме

Один из недавних случаев обнаружения зловредов в Google Play: в августе 2023 года исследователи нашли в официальном магазине Android целых 43 приложения — в частности, TV/DMB Player, Music Downloader, News и Calendar, — которые втайне от пользователя прокручивали рекламу в то время, когда смартфон оставался заблокированным.

Приложения в Google Play показывали скрытую рекламу

Некоторые из приложений, показывавших скрытую рекламу. Источник

Для того чтобы иметь возможность проворачивать свои дела в фоновом режиме, приложения просили пользователя добавить их в список исключений энергосбережения. Соответственно, негативным эффектом для пострадавших пользователей было пониженное время работы смартфона от аккумулятора. Суммарное количество загрузок этих приложений составило 2,5 миллиона, а нацелены они были преимущественно на корейских пользователей.

20 000 000 загрузок: мошеннические приложения обещают награду

В начале 2023 года было опубликовано исследование, которое рассказало о нескольких мошеннических приложениях в Google Play с суммарным количеством загрузок более 20 000 000. Эти приложения обещали пользователям денежные выплаты за различные действия. В первую очередь они позиционировались как приложения для здорового образа жизни, так что награда была обещана за ходьбу, а также, конечно же, за просмотр рекламы или установку каких-либо приложений.

Мошеннические приложения в Google Play обещают выплаты за ходьбу и просмотр рекламы

Приложения из Google Play, обещавшие награду за ходьбу и просмотр рекламы. Источник

Вернее, пользователю за эти действия начислялись очки, которые якобы однажды можно было конвертировать в настоящие деньги. Одна беда: для выплаты надо было набрать настолько огромное количество очков, что получить денежную выплату было практически невозможно.

35 000 000 загрузок: клоны Minecraft с adware внутри

Не обошлось в этом году и без вредоносных игр в Google Play: виновником торжества в очередной раз стала одна из популярнейших в мире игр — Minecraft. В апреле 2023 года в официальном магазине Android были обнаружены 38 клонов Minecraft с 35 000 000 суммарных загрузок. Внутри этих приложений скрывалась adware под названием HiddenAds.

Клон Minecraft из Google Play, зараженный adware

Block Box Master Diamond — самый популярный из клонов Minecraft, зараженных HiddenAds. Источник

Когда зараженные приложения были запущены, они занимались «показом» скрытой рекламы втайне от пользователя. Серьезной опасности они таким образом не представляли, но такое поведение могло влиять на производительность устройства и время работы от аккумулятора.

Кроме того, в дальнейшем злоумышленники могли придумать гораздо менее безобидный вариант монетизации. Это еще одна типичная тактика создателей вредоносных приложений для Android: они достаточно легко переключаются между различными типами вредоносной активности — в зависимости от того, что в данный момент выгоднее.

100 000 000 загрузок: сбор данных и «скликивание» рекламы

В том же апреле 2023 года в Google Play нашли еще 60 приложений, зараженных другим рекламным зловредом, который исследователи назвали Goldoson. У этих приложений суммарно было более 100 000 000 загрузок в Google Play и еще около 8 000 000 загрузок в популярном в Южной Корее магазине приложений One Store.

Этот зловред также «показывал» скрытую рекламу, открывая веб-страницы внутри приложения в фоновом режиме. Помимо этого, вредоносные приложения собирали данные о пользователе — включая информацию об установленных приложениях, геолокацию, адреса устройств, подключенных к смартфону по Wi-Fi и Bluetooth, и так далее.

Судя по всему, Goldoson попал во все эти приложения вместе с зараженной библиотекой, которую использовало множество честных разработчиков, не подозревающих о том, что она содержит вредоносные функции. Это достаточно частый случай: нередко создатели зловредов не занимаются разработкой и публикацией приложений в Google Play сами, а вместо этого создают вот такие зараженные библиотеки, которые попадают в магазин вместе с приложениями других разработчиков.

451 000 000 загрузок: реклама мини-игр и сбор данных

Наконец, самый масштабный случай этого года: в мае 2023-го одна группа исследователей обнаружила в Google Play аж 101 нежелательное приложение с суммарным числом загрузок 421 000 000. Внутри всех этих приложений скрывался один и тот же модуль, который получил название SpinOk.

Вскоре после этого другая группа исследователей нашла в официальном магазине Google еще 92 приложения с тем же модулем SpinOk и чуть более скромным числом загрузок — 30 000 000. Итого было найдено почти двести приложений с 451 000 000 загрузок из Google Play. Это снова тот случай, когда опасный код содержался во встроенной в приложение сторонней библиотеке.

Мини-игры, которые показывает SpinOk

Мини-игры с обещанием «наград», которые показывали пользователям приложения, содержавшие код SpinOk. Источник

На поверхности указанные приложения занимались показом навязчивых мини-игр, обещавших денежные награды. Но этим дело не ограничивалось — библиотека имела возможность в фоновом режиме собирать и отправлять на командный сервер пользовательские данные и файлы.

Как защититься от зловредов из Google Play

Разумеется, это далеко не все случаи, когда в 2023 году в Google Play попадали вредоносные приложения, — мы рассказали лишь о самых интересных и массовых из них. Главный вывод, который стоит сделать из этого текста, состоит в том, что нарваться на зловреда в Google Play можно гораздо чаще, чем всем нам хотелось бы, — число загрузок зараженных приложений превышает полмиллиарда!

Несмотря на это, официальные магазины по-прежнему остаются наиболее безопасными источниками — скачивать программы за их пределами мы настоятельно не рекомендуем, это гораздо опаснее. Но осторожность надо проявлять и в официальных магазинах:

  • Каждый раз, когда вы скачиваете новое приложение, тщательно проверьте его страницу в магазине и убедитесь, что это настоящее приложение. Обратите особенное внимание на имя разработчика. Нередко киберпреступники создают копии популярных приложений и размещают их в Google Play с похожими названиями, иконками и описаниями, чтобы заманить в них пользователей.
  • На общий рейтинг приложения обращать внимание довольно бессмысленно — его легко накрутить. Восторженные отзывы тоже легко подделать. Поэтому основное внимание уделяйте негативным отзывам с низким рейтингом — обычно там можно найти описание всех проблем, которые есть у приложения.
  • Обязательно установите на все свои Android-устройства надежную защиту, которая вовремя предупредит, если на ваш смартфон или планшет попытается пробраться троян.
  • В бесплатной версии нашего приложения Kaspersky для Android не забывайте время от времени вручную запускать проверку устройства и обязательно запускайте антивирусную проверку после установки любого нового приложения, но перед его первым запуском.
  • В платной версии нашей защиты — которая, кстати, входит в подписки Kaspersky Standard, Kaspersky Plus и Kaspersky Premium — подобная проверка происходит автоматически, защищая вас от использования зараженных приложений.
Советы