Эксперты по информационной безопасности проанализировали объявления о продаже вредоносных приложений для Google Play на нескольких форумах в даркнете — русскоязычных и международных. Оказалось, что цены на программы и аккаунты разработчиков (они необходимы, чтобы загружать приложения в магазин) доходят до 20 тыс. долларов США.
Несмотря на активную модерацию загружаемых в Google Play приложений, в него иногда проникают вредоносные и нежелательные версии и обновления программ. К сожалению, их часто обнаруживают уже после того, как устройства пользователей окажутся заражены.
В даркнете злоумышленники покупают и продают вредоносные приложения для Google Play, а также обновления для них, и рекламируют свои разработки. Чтобы загрузить зловред в стор, они покупают аккаунт разработчика в Google Play и загрузчик вредоносного кода. Аккаунты предлагают по цене от $60 до $200. Стоимость вредоносных загрузчиков варьируется от $2 до $20 тыс. в зависимости от сложности, новизны и уникальности кода, а также от дополнительной функциональности.
В даркнете чаще всего предлагают встроить вредоносный код в криптовалютные трекеры, различные финансовые приложения, сканеры QR-кодов или приложения для знакомств. Такие программы выкладываются в Google Play, а вредоносный код злоумышленники добавляют позднее. Авторы объявлений также отмечают, сколько раз были скачены такие приложения, чтобы показать, сколько потенциальных жертв можно охватить. Чаще всего в сообщениях указывается пять тысяч загрузок или более.
За дополнительную плату злоумышленники могут обфусцировать код (затруднить анализ) приложения, чтобы усложнить обнаружение защитными решениями. Чтобы увеличить число загрузок, злоумышленники также используют рекламные возможности самого Google.
Авторы объявлений предлагают три способа сотрудничества: за долю от конечной прибыли, по подписке и за полное приобретение аккаунта или зловреда. Некоторые продавцы проводят аукционы на покупку своих продуктов, так как количество продаваемых лотов ограничено. Стоимость одного из подобных проанализированных предложений начиналась с $1500 с шагом в $700. При этом, например, блиц-цена покупки (без торга) на одной из площадок составила $7 тыс.
Продавцы в даркнете также могут предложить опубликовать приложение за покупателя, чтобы тому не пришлось напрямую взаимодействовать с Google Play, но он всё равно мог получать информацию о пользователях. Чтобы снизить риски при заключении сделки, злоумышленники часто прибегают к услугам незаинтересованных посредников (эскроу).
«Вредоносные программы для мобильных устройств продолжают оставаться одной из самых распространённых киберугроз. В 2022 году мы обнаружили более 1,6 миллионов таких приложений. Однако есть и хорошая новость — эффективность защитных решений тоже быстро растёт. На теневых форумах злоумышленники жаловались, что загружать вредоносные приложения в официальные магазины стало труднее. Однако не стоит скидывать эту проблему со счетов, не исключаем, что атакующие будут пытаться изобретать всё новые способы, чтобы добраться до данных и денег пользователей. Владельцам смартфонов важно сохранять бдительность и проверять, какие приложения они скачивают: обращать внимание на разработчика, его рейтинг и оценки других пользователей. Важно также использовать защитное решение, которое не даст загрузить зловред на устройство», — комментирует Алиса Кулишенко, эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы обезопасить устройство от мобильных угроз, эксперты рекомендуют пользователям:
- обращать внимание на то, какие разрешения вы выдаёте установленному приложению, нужны ли они ему для корректной работы;
- использовать надёжное защитное решение, которое не даст загрузить и установить на устройстве зловред;
- скачивать приложения с легитимных ресурсов: это в любом случае существенно снижает риск столкнуться с киберугрозами по сравнению с неофициальными площадками;
- регулярно обновлять операционную систему и установленные приложения — вместе с ними разработчики выпускают патчи с исправлениями уязвимостей и ошибок.