Фальшивое приложение слева, настоящее справа

В каталоге Google Play вполне реально зарегистрировать вредоносное приложение и распространить его на огромную аудиторию пользователей Android-смартфонов. Это было известно и раньше, и вот теперь очередное подтверждение: более миллиона пользователей скачали из «защищённого» и «безопасного» каталога фальшивое приложение WhatsApp.

Скачало бы и больше, но 3 ноября 2017 года фальшивку обнаружили бдительные пользователи Reddit. Разумеется, после этого приложение удалили из каталога.

Приложение под названием Update WhatsApp Messenger само по себе запрашивало минимальные разрешения (только доступ к интернету), но фактически является рекламной обёрткой для настоящего приложения, то есть это зловред типа ad wrapper.

На скриншоте показано, что программа прописывается в автозагрузку.

На следующем скриншоте внизу — программный код, который, судя по всему, отвечает за скачивание настоящего клиента WhatsApp Android. Он тоже называется whatsapp.apk.



Разработчики применили хитрый трюк, чтобы выдать себя за оригинальную компанию WhatsApp Inc. Как видно на следующем скриншоте, в конце названия компании WhatsApp Inc. добавлены два байта: 0xC2 0xA0, которые образуют невидимый пробел. Таким образом, со стороны выглядит, что разработчик реальный.



После установки на смартфоне программа пытается скрыть следы своего существования, У неё нет зарегистрированного названия в системе и прозрачная пустая иконка. В списке приложений она выглядит следующим образом:



Зловред не делает на телефоне ничего особо вредоносного, если не считать показа назойливой рекламы. Вот несколько скриншотов из работающей программы и экрана выбора сервера обновления: 1, 2, 3, 4. Судя по интерфейсу, разработчики не пользовались услугами дизайнера, а у них самих не самый совершенный вкус в части выбора цветов для оформления.

Не каждый пользователь сразу поймёт, откуда на экране смартфона взялась реклама и какую программу нужно удалить. У приложения полноценные права в системе, если пользователь собственноручно установил его. Кроме того, этот ad wrapper скачал и установил настоящее приложение WhatsApp, так что не сразу очевидно, что сам остался работать в системе.

Можно предположить, что аферисты заработали немалую сумму, подсадив такого «трояна» на телефоны более чем миллиона пользователей. Если им удалось заработать на показе баннеров хотя бы несколько долларов с каждого аппарата, то уже выходит несколько миллионов долларов.

Распространить программу на миллион и более смартфонов Android очень сложно иным способом, кроме как через официальный каталог Google Play. Пользователи наивно полагают, что здесь они защищены от зловредов. Сама компания Google в описании антивируса Play Protect заявляет, что «безопасность всех приложений Android тщательно проверяется перед тем, как они появятся в Google Play Store. Мы проверяем каждого разработчика в Google Play и блокируем тех, кто нарушает наши правила. Так что ещё до скачивания приложения вы знаете, что оно было проверено и одобрено». Антивирус Play Protect ежедневно сканирует 50 млрд приложений для гарантии, что в новых версиях программ после обновления не появилось ничего подозрительного.

Как видим, эта защита не очень хорошо справляется со своими задачами. По крайней мере, этот ad wrapper сумел избежать детектирования сканером Play Protect.

В сентябре 2017 года специалисты Google рассказывали о системе ИИ, которая используется в антивирусе Play Protect. Для обучения нейросети используется в том числе телеметрия с пользовательских устройств: статистика по количеству установок и удалений программ, поведение программы и т.д. Но компания ещё тогда признавала, что ИИ пока не завершил процесс обучения, хотя прогресс налицо. Если весной 2017 года ему удавалось корректно определять всего 5% зловредов из тестовой выборке, то к сентябрю показатель увеличился до 55%. Разработчики говорили, что благодаря антивирусной активности Google за год снизилась доля пользователей Android, на смартфонах которых установлено то или иное вредоносное обеспечение. На начало года таких было 0,6%, а в сентябре — 0,25%. Таким образом, антивирусная безопасность на устройствах Android гораздо лучше, чем на десктопных ПК, считают специалисты Google.

Комментарии (55)


  1. hbrmdc
    06.11.2017 15:16

    мрак, куда смотрит гугл?!
    А в AppStore такое случается?


    1. dopusteam
      06.11.2017 15:57

      1. IonDen
        06.11.2017 18:20
        +1

        Проверил ради интереса App store, по примерам из статьи теперь все гораздо лучше.


        1. dopusteam
          07.11.2017 09:18

          Мне кажется, на смену примерам из статьи появилось много новых подобных приложений


    1. andrewdrone
      06.11.2017 15:57

      Естественно. Лично видел фейковые Whatsapp и Viber. Отличить можно по разработчику и отзывам, но обычно на них никто не смотрит, слепо веря в безупречность аппстора


    1. tropico
      06.11.2017 16:18

      В AppStore меньше шансов такому пройти из-за ручного ревью всех приложений.


      1. hbrmdc
        06.11.2017 16:57

        не уверен, что ревью там ручное: пол года назад делал релиз — заняло всего несколько часов с момента запроса ревью до момента публикации. Либо они не спят в дневное время по МСК, либо ручной проверки там небыло


        1. tropico
          07.11.2017 15:31

          На английской википедии цитируется следующее (за 2013 год):

          Applications for mobile apps for iOS are subject to approval by Apple by their App Review team.

          Before landing on the App Store, all apps are manually reviewed by Apple for flaws and malware.

          As part of this vetting exercise, Apple employees also run a special static analyzer on the app’s binary code to see whether it makes use of private functionality that’s normally off-limits to developers. This important step allows the company to determine, for example, if the code attempts to surreptitiously make phone calls, send SMS messages, or even access the contacts database without the user’s permission.


          Также спросил коллег, у которых есть друзья/знакомые iOS-разработчики, все подтвердили что ревью ручное и первое самое длинное.


      1. mazahakajay
        06.11.2017 17:05

        Сколько же у них специалистов работает… или рабов?


      1. rustavelli
        07.11.2017 13:51

        да-да, вот эта какаха прошла все ревью и соответствует неповторимому стайлгайду от эпл.
        itunes.apple.com/ru/app/icpdas-mqtt/id1071998856?mt=8


  1. nomadmoon
    06.11.2017 15:33

    Я правильно понял что при установке софта из Гугл Плэй надо обращать внимание на иконку
    Verified by Play Protect? Там где она есть значит приложение не зловредное?


    1. Hardcoin
      06.11.2017 15:55

      Или хорошо обошло проверку.


    1. mikhaelkh
      06.11.2017 16:02
      -1

      Нет, тем более что она появляется только после нажатия на кнопку "Install". Прежде всего надо полагаться на свою голову, на количество установок (у самых популярных приложений типа WhatsApp оно уже за миллиард, так что миллион установок — звоночек), отрицательные отзывы, разрешения, наличие приложений с похожими именами и иконками. И не забывать про бэкапы в облака!


      1. nomadmoon
        06.11.2017 16:16

        Проверил на Play Market на Alcatel Pixi4, почему то ни до установки ни после установки Verified by Play Protect не появляется


        1. mikhaelkh
          07.11.2017 02:20

          Обновите Play Market например отсюда


          1. AllexIn
            07.11.2017 13:45

            Отличное предложение! Для того, чтобы ваш Play Market стал безопаснее — обновите его с варезного сайта!


            1. mikhaelkh
              07.11.2017 22:12

              Если Вы не отключали проверку подписи, то поставить Вы сможете только оригинал от Гугла, так что проблемы безопасности я не вижу.


  1. Art3
    06.11.2017 15:49
    +1

    Фейлы от Google уже перестали удивлять. И тупость пользователей тоже. А вот разработчики удивили, молодцы.


    1. YaMishar
      06.11.2017 16:36

      Фейл от Гугла — понятно. А где тупость пользователей? Куда им надо было смотреть?


      1. nochkin
        06.11.2017 17:02
        +1

        Это же очевидно — домохозяйка Глафира должна проводить декомпиляцию и полный анализ кода перед установкой любого приложения.


        1. Dmitry_7
          07.11.2017 09:04

          Миллион скачиваний — не подозрительно?


          1. nochkin
            07.11.2017 09:10

            Задним числом всегда удобно рассуждать.
            Но вообще, миллион — это уже достаточно много что бы не подозревать. Мало кто помнит наизусть даже порядок скачивания любимых и не очень приложений.


          1. vlivyur
            07.11.2017 09:17

            Нет. Тем более что там диапазоны с неизвестным шагом указываются.


      1. mSnus
        06.11.2017 17:56
        +3

        На надпись Update Whatsapp. Чего вдруг Update?


        Да и вообще полезно бы заставить их смотреть на что-то, кроме похожей иконки.


        1. mx14
          06.11.2017 19:57

          У многих приложений есть неофициальные аналоги, у которых часто есть функции которых нет у оригинала. Кстати у geektimes тож. такое есть). Так что это проблема Гугла что пропустили зловреда


          1. Nalivai
            06.11.2017 21:20

            У этих аналогов написано что это неофициальные аналоги. Если приложение об этом явно не пишет, то это скам, даже если оно на самом деле работает.


        1. vlivyur
          06.11.2017 20:22

          Kingsoft Office теперь звучит как «Update for Old Versions», правда среди скриншотов сплошные «Не ставьте его вручную».


      1. Vilgelm
        07.11.2017 03:57

        На название и количество установок. Если пользователь устанавливает приложение Update for WhatsApp с миллионом установок, когда оригинал называется Whatsapp и имеет за миллиард установок, то он ССЗБ. И Google тут ни при чем.


  1. Nagg
    06.11.2017 15:54

    Что гугл плей, что апп стор — те еще помойки, в которых порой даже какое известное приложение найти не просто — сразу выскакивает с десяток фишинговых или бесполезных типа %appname% stickers


    1. bundzmm
      06.11.2017 19:53

      К сожалению, Google как и Apple, я уверен, прилагают массу усилий для борьбы с этим явлением, но проблема останется до тех пор пока существуют люди желающие быстрого заработка и имеющие для этого необходимые знания и умения.


      1. AllexIn
        07.11.2017 13:47

        Достаточно ввести верификацию авторов с заключением договора и требовать платить первоначальный возвращаемый взнос за публикацию.
        Но они этого не сделают. Так что их масса усилий — это отлично, но не работает.


        1. freeExec
          09.11.2017 09:04

          Чтобы стать разработчиком и так надо занести бабла в стор.


          1. AllexIn
            09.11.2017 09:23

            1) Мало
            2) Я говорил не только о бабле, но еще и о верификации разработчика


            1. Areso
              10.11.2017 07:01

              1) Отсечет часть разработчиков.
              2) Можно подумать, что сейчас это кого-то останавливает с сим-картами, например, в России? Зарегать на первого попавшегося алкоголика, студента, идиота и дело с концом


  1. Carburn
    06.11.2017 16:59

    Whatsapp тестировали новую модель монетизации.


  1. mSnus
    06.11.2017 17:58

    Странно, что они так плохо отслеживают "прилипал". Казалось бы, сильно популярных программ не так много, и отслеживать из клоны по похожей иконке и похожести названия — совсем простая задача..


    1. DmitryMry
      08.11.2017 14:24

      Знаю такие случаи, когда Apple отклоняли приложения из-за похожей иконки или названия. Но это касалось не известных приложений, а игр (т.е. если проблемы с копирайтом). Получается, что сам механизм есть, но только никому это не интересно.


  1. Kicker
    06.11.2017 19:07

    Вопрос в другом, останется ли приложение на телефоне или гугл стор удаленно удалит на всех устройствах?


    1. 0o0
      07.11.2017 02:47

      Как удалённо?
      Как удалит?
      Я не разрешаю!
      Что за отсебятина?


      1. Solexid
        07.11.2017 12:53

        А вас никто не спрашивает. Установлены гуглсервисы? Значит это не ваш девайс, а гугла.


  1. yurec_bond
    06.11.2017 19:22

    Простите за нубский вопрос.
    Но, не уже ли так просто подделать паблишера (компанию которая сделала приложение).
    Должны же быть какие нибудь подписи основанные на сертификатах или что то подобное.


    1. Apocaliptis
      06.11.2017 20:19

      Они не подделали. Они создали нового с невидимым пробелом в конце. Очень не очевидно даже опытному пользователю…


      1. Garbus
        07.11.2017 06:03

        Зато должно быть вполне очевидно какому нибуть скрипту. А то всё пугают ИИ, а такие банальные вещи как подстановка спецсимволов для маскировки, до сих пор со свистом пролетают до пользователей. Не могут угадать всё заранее? Рендерим сайт и банальным распознованием текста с картинки видим — использование левым аккаунтом зарегистрированной торговой марки, ключевых слов и т.п…
        Во всем этом видится только волосатая «рука рынка», где гуглу просто недостаточно заинтересованности в безопасности сервиса.


      1. Areso
        07.11.2017 06:46

        Опытный пользователь вспомнит, как во времена Windows 95/98, можно было зайти через командную строку и поменять у папки имя, добавив туда какой-нибудь спецсимвол типа этого пробела через Альт+Код… Папку потом не удалить было из графического интерфейса))


      1. Welran
        07.11.2017 10:56

        Опытному пользователю очень не очевидно зачем в имени паблишера разрешать невидимые пробелы и другие спецсимволы.


    1. vlivyur
      06.11.2017 20:23

      Подозреваю что пробелов всяких разных ещё много на просторах Unicode, так что можно пробовать ещё.


  1. Mairon
    06.11.2017 19:56

    Ну судя по высокому рейтингу приложения (4.2 балла на миллион установок), скорее всего большая часть установок — с бот-ферм, чтобы накрутить количество установок и рейтинг. На деле реальных пользователей там мало было скорее всего.


  1. andrey_aksamentov
    07.11.2017 05:35

    Странно что сами разработчики оригинальной программы не заметили клон. Уж кому как не им должно быть это известно. Такие крупные разработчики должны каждый день по несколько раз мониторить площадку.

    «50 млрд приложений» когда успели столько наделать?


  1. EnigMan
    07.11.2017 11:00

    У меня вопрос:

    На следующем скриншоте внизу — программный код, который, судя по всему, отвечает за скачивание настоящего клиента WhatsApp Android. Он тоже называется whatsapp.apk.

    Как это выглядит на практике. Пользователя перекидывает на правильное приложение в маркете или же просто качается .apk и дальше идет установка из неизвестного источника? В любом случае это должно быть подозрительно, тем более что по-умолчанию установка приложений из неизвестных источников отключена.


    1. ABATAPA
      07.11.2017 12:45

      Почему «неизвестных»? APK оригинальный, подписан ключом WhatsApp Inc.


      1. EnigMan
        07.11.2017 13:40

        «Неизвестный источник» в моём понимании — это любой .apk полученный не из маркета. По-умолчанию установка таких приложений отключена и включается отдельно из настроек безопасности. В любом случае запрос на подтверждение прав приложения должен был появиться повторно.


  1. zagayevskiy
    07.11.2017 11:25

    lol
    А я как-то тетрис c названием "Tetris" выложил в альфа-доступ в гуглплее. Не прошло и нескольких часов, как его заблочили насмерть, дескать оно нарушает права ЕА. Так и висит теперь в консоли разработчика немым напоминанием.


    1. safari2012
      07.11.2017 13:38

      А какое отношение EA имеет к тетрису?


      1. zagayevskiy
        07.11.2017 14:20

        У них права на название, я так понимаю https://play.google.com/store/apps/details?id=com.ea.game.tetris2011_row


        И статья про подобный случай в AppStore https://habrahabr.ru/company/papabubadiop/blog/205648/


  1. Smallfan
    07.11.2017 15:44

    Вообще интересно. Я много лет выкладываю несоответствующее правилам Google Play приложение. И когда количество скачек переваливает за ~500 тысяч, оно по всей видимости попадает на ручную модерацию, там бан. А тут аж до миллиона дожило.