Какие риски ждут пользователей в обычных магазинах приложений

Аналитики считают, что заражённые приложения из популярных магазинов скачали десятки миллионов пользователей. Надёжных инструментов защиты в них так и не придумано: премодерация отсекает только явно проблемные приложения, пропуская разработки чуть более изощрённых киберпреступников. Те, в свою очередь, бьют не только по простым пользователям, но и по крупному бизнесу.

Новостные ленты технологических ресурсов полны сведений об обнаружении вирусов и зловредов в приложениях, которые пользователи скачивают из "надёжных и безопасных" магазинов. Самые популярные из них – Google Play Market и AppStore. Негативная тенденция последних лет подтверждается данными аналитиков: тот же Google выпал из топ-10 рейтинга самых уважаемых компаний Global RepTrak 100, потеряв сразу 11 позиций. Конечно, ключевую роль сыграли связанные с компанией скандалы, но и снизившееся доверие пользователей наверняка было принято экспертами во внимание.

Заражённые приложения в бесконтрольных магазинах

Самый свежий и самый наглядный пример: в марте компания Eset отчиталась об обнаружении в Google Play подозрительного приложения для конвертации файлов из формата pdf в doc. Как выяснилось, все документы (а среди них были и паспорта, и юридические документы, и медицинские) хранились в незашифрованном виде на FTP-сервере. Более того, само приложение было лишь посредником: на самом деле конвертация происходила на стороннем портале. Наличие утечек данных даже невозможно отследить, поскольку скачивать документы с FTP-сервера мог любой желающий. У приложения оказалось больше 100 тыс. скачиваний, а за последние три года через него прошло более 360 тыс. документов.

Этот пример подтверждает общую ситуацию: в Google Play нет эффективной системы контроля и проверки приложений. Это характерно и для других подобных площадок, пусть с ними ситуация пока не такая критическая. Обнаружение уязвимостей остается делом отдельных энтузиастов.

"В официальном магазине приложений Google Play иногда действительно удаётся обнаружить вредоносные и мошеннические приложения. Эти случаи могут быть очень опасными, ведь пользователи в целом склонны доверять этому источнику", – говорит Виктор Чебышев, антивирусный эксперт "Лаборатории Касперского".

Многофункциональность зараженных приложений потрясает воображение: они за секунды воруют деньги с банковских карточек или из PayPal, приносят доход за счёт показов "левой" рекламы, устанавливают майнеры криптовалюты, а особенно предприимчивые киберпреступники умудряются выкладывать даже поддельные приложения популярных банков. Но главной проблемой и для простых пользователей, и для бизнеса остаётся кража ценных данных, которые затем можно использовать в своих интересах, продать этой же компании или даже её конкурентам. Совокупность установок только в обнаруженных и обнародованных кейсах давно перевалила за 10 млн.

Как вирусы попадают в приложения

Сам процесс заражения технологически достаточно прост. Эксперты говорят, что сейчас защиту магазинов приложений обходят в основном с помощью технологии динамической загрузки модулей. Это позволяет загружать на площадку приложения, которые не должны вызвать подозрений у модераторов, а вредоносные модули подгружаются уже позже – в удалённом режиме. Чтобы вредоносный код сразу не попал в Google Play, под него создают отдельную библиотеку, для которой нет практически никаких ограничений по содержимому. Но это лишь один из доступных способов, который, стоит отметить, абсолютно легален: Play Market разрешил подгрузку динамических модулей еще 8 лет назад.

"Проникновения вредоносных приложений в Google Play происходят даже с учетом того, что каждое публикуемое приложение и его дальнейшие обновления проходят процедуру модерации. Для этого злоумышленники используют различные техники, причём в каждом случае они уникальные", – считает Виктор Чебышев.

Важная задача хакеров — умерить свои аппетиты. Приложения, которые заражают каждого первого пользователя, быстро попадают в поле зрения. Но если они касаются только 2-3%, это уже не так заметно.

"Для мобильных платформ – как iOS, так и Android – существует очень большое количество приложений-зловредов, которые специально пишутся для кражи информации, учётных записей и паролей", – констатирует Андрей Чапчаев, генеральный директор компании "Инфотекс".

Сама загрузка приложения на подобные платформы и вовсе проста: к Google Play, например, через консоль разработчика может присоединиться любой пользователь. Для этого нужно выполнить четыре несложных шага и оплатить регистрационный сбор в размере $25.

Из-за простых пользователей страдает бизнес

Проблемы отдельных магазинов приложений дополняются недостатками самих мобильных ОС. Авторитетные ресурсы, отслеживающие уязвимости в популярных операционных системах, ставят Android на первое место, а iOS, если и отстаёт, то ненамного. В совокупности это наносит колоссальный ущерб уже даже не по простым пользователям, а по бизнесу.

"Без специальных ограничительных мер пользователь может установить приложение, позволяющее ему, например, передавать корпоративные данные вне организации. Опасны также фишинговые и вредоносные программы, которые без ведома пользователя будут собирать конфиденциальную информацию и передавать её злоумышленникам, – считает Тимофей Алексеев, инженер компании "Аладдин Р.Д.". – Повсеместное использование Android, равно как и iOS, подразумевает широкий спектр возможных атак на пользователя посредством уязвимостей нулевого дня, фишинга и прочих атак, направленных на получение прав установки вредоносного ПО".

Понятно, что в первую очередь от этого страдают компании, исповедующие философию BYOD (Bring your own device – "Принеси своё устройство"): она подразумевает практику использования личных смартфонов ещё и в рабочих целях и остаётся самым популярным подходом, хотя есть сведения о том, что случаи применения этой практики снижаются.

В том числе и по этой причине число атакованных киберпреступниками компаний каждый год составляет не какие-то считанные проценты – их уже подавляющее большинство. Альтернативой считается подход COPE (Corporate-Owned, Personally Enabled – "Приобретенное компанией устройство, которое можно использовать и в личных целях") и его вариации.

"Пользователи мобильных устройств сегодня есть в каждой организации, но остаётся много сотрудников, которые могут стать более продуктивными, получив мобильные инструменты для работы. Таким же образом компании будут более конкурентоспособными, если смогут использовать защищённые мобильные приложения, особенно если они напрямую связаны с активностями, приносящими доход. Инвестиции в корпоративную мобильность могут принести и приносят значительную прибыль, но они должны быть направлены на увеличение результатов и эффективности", – говорит Алекс Уайт (Alex White), вице-президент End User Computing EMEA, VMware.

Только вот использовать в таких устройствах лучше не дискредитировавшие себя ОС с заражёнными магазинами, из которых пользователь всё равно найдет способ скачивать приложения, а сертифицированные решения. У российских потребителей пока есть только один подобный вариант – операционная система SailfishOS/Аврора, которую производит "Открытая мобильная платформа". Её центр разработки находится внутри страны и никак не связан с крупными корпорациями, к которым у пользователей давно накопились обвинения в шпионаже и краже данных. В том числе и поэтому продукт прошёл цикл сертификации в ФСБ, а также был внесён в Единый реестр. Других мобильных ОС в нём пока так и не появилось. Тем не менее, даже этот один пример позволяет российскому бизнесу чуть меньше опасаться таких банальных, но таких непобедимых угроз, как вирусы в магазинах приложений крупных западных ИТ-гигантов.