Фальшивое приложение слева, настоящее справа
В каталоге Google Play вполне реально зарегистрировать вредоносное приложение и распространить его на огромную аудиторию пользователей Android-смартфонов. Это было известно и раньше, и вот теперь очередное подтверждение: более миллиона пользователей скачали из «защищённого» и «безопасного» каталога фальшивое приложение WhatsApp.
Скачало бы и больше, но 3 ноября 2017 года фальшивку обнаружили бдительные пользователи Reddit. Разумеется, после этого приложение удалили из каталога.
Приложение под названием Update WhatsApp Messenger само по себе запрашивало минимальные разрешения (только доступ к интернету), но фактически является рекламной обёрткой для настоящего приложения, то есть это зловред типа ad wrapper.
На скриншоте показано, что программа прописывается в автозагрузку.
На следующем скриншоте внизу — программный код, который, судя по всему, отвечает за скачивание настоящего клиента WhatsApp Android. Он тоже называется whatsapp.apk.
Разработчики применили хитрый трюк, чтобы выдать себя за оригинальную компанию WhatsApp Inc. Как видно на следующем скриншоте, в конце названия компании WhatsApp Inc. добавлены два байта: 0xC2 0xA0, которые образуют невидимый пробел. Таким образом, со стороны выглядит, что разработчик реальный.
После установки на смартфоне программа пытается скрыть следы своего существования, У неё нет зарегистрированного названия в системе и прозрачная пустая иконка. В списке приложений она выглядит следующим образом:
Зловред не делает на телефоне ничего особо вредоносного, если не считать показа назойливой рекламы. Вот несколько скриншотов из работающей программы и экрана выбора сервера обновления: 1, 2, 3, 4. Судя по интерфейсу, разработчики не пользовались услугами дизайнера, а у них самих не самый совершенный вкус в части выбора цветов для оформления.
Не каждый пользователь сразу поймёт, откуда на экране смартфона взялась реклама и какую программу нужно удалить. У приложения полноценные права в системе, если пользователь собственноручно установил его. Кроме того, этот ad wrapper скачал и установил настоящее приложение WhatsApp, так что не сразу очевидно, что сам остался работать в системе.
Можно предположить, что аферисты заработали немалую сумму, подсадив такого «трояна» на телефоны более чем миллиона пользователей. Если им удалось заработать на показе баннеров хотя бы несколько долларов с каждого аппарата, то уже выходит несколько миллионов долларов.
Распространить программу на миллион и более смартфонов Android очень сложно иным способом, кроме как через официальный каталог Google Play. Пользователи наивно полагают, что здесь они защищены от зловредов. Сама компания Google в описании антивируса Play Protect заявляет, что «безопасность всех приложений Android тщательно проверяется перед тем, как они появятся в Google Play Store. Мы проверяем каждого разработчика в Google Play и блокируем тех, кто нарушает наши правила. Так что ещё до скачивания приложения вы знаете, что оно было проверено и одобрено». Антивирус Play Protect ежедневно сканирует 50 млрд приложений для гарантии, что в новых версиях программ после обновления не появилось ничего подозрительного.
Как видим, эта защита не очень хорошо справляется со своими задачами. По крайней мере, этот ad wrapper сумел избежать детектирования сканером Play Protect.
В сентябре 2017 года специалисты Google рассказывали о системе ИИ, которая используется в антивирусе Play Protect. Для обучения нейросети используется в том числе телеметрия с пользовательских устройств: статистика по количеству установок и удалений программ, поведение программы и т.д. Но компания ещё тогда признавала, что ИИ пока не завершил процесс обучения, хотя прогресс налицо. Если весной 2017 года ему удавалось корректно определять всего 5% зловредов из тестовой выборке, то к сентябрю показатель увеличился до 55%. Разработчики говорили, что благодаря антивирусной активности Google за год снизилась доля пользователей Android, на смартфонах которых установлено то или иное вредоносное обеспечение. На начало года таких было 0,6%, а в сентябре — 0,25%. Таким образом, антивирусная безопасность на устройствах Android гораздо лучше, чем на десктопных ПК, считают специалисты Google.
Комментарии (55)
nomadmoon
06.11.2017 15:33Я правильно понял что при установке софта из Гугл Плэй надо обращать внимание на иконку
Verified by Play Protect? Там где она есть значит приложение не зловредное?mikhaelkh
06.11.2017 16:02-1Нет, тем более что она появляется только после нажатия на кнопку "Install". Прежде всего надо полагаться на свою голову, на количество установок (у самых популярных приложений типа WhatsApp оно уже за миллиард, так что миллион установок — звоночек), отрицательные отзывы, разрешения, наличие приложений с похожими именами и иконками. И не забывать про бэкапы в облака!
Art3
06.11.2017 15:49+1Фейлы от Google уже перестали удивлять. И тупость пользователей тоже. А вот разработчики удивили, молодцы.
YaMishar
06.11.2017 16:36Фейл от Гугла — понятно. А где тупость пользователей? Куда им надо было смотреть?
nochkin
06.11.2017 17:02+1Это же очевидно — домохозяйка Глафира должна проводить декомпиляцию и полный анализ кода перед установкой любого приложения.
mSnus
06.11.2017 17:56+3На надпись Update Whatsapp. Чего вдруг Update?
Да и вообще полезно бы заставить их смотреть на что-то, кроме похожей иконки.
mx14
06.11.2017 19:57У многих приложений есть неофициальные аналоги, у которых часто есть функции которых нет у оригинала. Кстати у geektimes тож. такое есть). Так что это проблема Гугла что пропустили зловреда
Nalivai
06.11.2017 21:20У этих аналогов написано что это неофициальные аналоги. Если приложение об этом явно не пишет, то это скам, даже если оно на самом деле работает.
vlivyur
06.11.2017 20:22Kingsoft Office теперь звучит как «Update for Old Versions», правда среди скриншотов сплошные «Не ставьте его вручную».
Vilgelm
07.11.2017 03:57На название и количество установок. Если пользователь устанавливает приложение Update for WhatsApp с миллионом установок, когда оригинал называется Whatsapp и имеет за миллиард установок, то он ССЗБ. И Google тут ни при чем.
Nagg
06.11.2017 15:54Что гугл плей, что апп стор — те еще помойки, в которых порой даже какое известное приложение найти не просто — сразу выскакивает с десяток фишинговых или бесполезных типа %appname% stickers
bundzmm
06.11.2017 19:53К сожалению, Google как и Apple, я уверен, прилагают массу усилий для борьбы с этим явлением, но проблема останется до тех пор пока существуют люди желающие быстрого заработка и имеющие для этого необходимые знания и умения.
AllexIn
07.11.2017 13:47Достаточно ввести верификацию авторов с заключением договора и требовать платить первоначальный возвращаемый взнос за публикацию.
Но они этого не сделают. Так что их масса усилий — это отлично, но не работает.freeExec
09.11.2017 09:04Чтобы стать разработчиком и так надо занести бабла в стор.
AllexIn
09.11.2017 09:231) Мало
2) Я говорил не только о бабле, но еще и о верификации разработчикаAreso
10.11.2017 07:011) Отсечет часть разработчиков.
2) Можно подумать, что сейчас это кого-то останавливает с сим-картами, например, в России? Зарегать на первого попавшегося алкоголика, студента, идиота и дело с концом
mSnus
06.11.2017 17:58Странно, что они так плохо отслеживают "прилипал". Казалось бы, сильно популярных программ не так много, и отслеживать из клоны по похожей иконке и похожести названия — совсем простая задача..
DmitryMry
08.11.2017 14:24Знаю такие случаи, когда Apple отклоняли приложения из-за похожей иконки или названия. Но это касалось не известных приложений, а игр (т.е. если проблемы с копирайтом). Получается, что сам механизм есть, но только никому это не интересно.
Kicker
06.11.2017 19:07Вопрос в другом, останется ли приложение на телефоне или гугл стор удаленно удалит на всех устройствах?
yurec_bond
06.11.2017 19:22Простите за нубский вопрос.
Но, не уже ли так просто подделать паблишера (компанию которая сделала приложение).
Должны же быть какие нибудь подписи основанные на сертификатах или что то подобное.Apocaliptis
06.11.2017 20:19Они не подделали. Они создали нового с невидимым пробелом в конце. Очень не очевидно даже опытному пользователю…
Garbus
07.11.2017 06:03Зато должно быть вполне очевидно какому нибуть скрипту. А то всё пугают ИИ, а такие банальные вещи как подстановка спецсимволов для маскировки, до сих пор со свистом пролетают до пользователей. Не могут угадать всё заранее? Рендерим сайт и банальным распознованием текста с картинки видим — использование левым аккаунтом зарегистрированной торговой марки, ключевых слов и т.п…
Во всем этом видится только волосатая «рука рынка», где гуглу просто недостаточно заинтересованности в безопасности сервиса.
Areso
07.11.2017 06:46Опытный пользователь вспомнит, как во времена Windows 95/98, можно было зайти через командную строку и поменять у папки имя, добавив туда какой-нибудь спецсимвол типа этого пробела через Альт+Код… Папку потом не удалить было из графического интерфейса))
Welran
07.11.2017 10:56Опытному пользователю очень не очевидно зачем в имени паблишера разрешать невидимые пробелы и другие спецсимволы.
vlivyur
06.11.2017 20:23Подозреваю что пробелов всяких разных ещё много на просторах Unicode, так что можно пробовать ещё.
Mairon
06.11.2017 19:56Ну судя по высокому рейтингу приложения (4.2 балла на миллион установок), скорее всего большая часть установок — с бот-ферм, чтобы накрутить количество установок и рейтинг. На деле реальных пользователей там мало было скорее всего.
andrey_aksamentov
07.11.2017 05:35Странно что сами разработчики оригинальной программы не заметили клон. Уж кому как не им должно быть это известно. Такие крупные разработчики должны каждый день по несколько раз мониторить площадку.
«50 млрд приложений» когда успели столько наделать?
EnigMan
07.11.2017 11:00У меня вопрос:
На следующем скриншоте внизу — программный код, который, судя по всему, отвечает за скачивание настоящего клиента WhatsApp Android. Он тоже называется whatsapp.apk.
Как это выглядит на практике. Пользователя перекидывает на правильное приложение в маркете или же просто качается .apk и дальше идет установка из неизвестного источника? В любом случае это должно быть подозрительно, тем более что по-умолчанию установка приложений из неизвестных источников отключена.ABATAPA
07.11.2017 12:45Почему «неизвестных»? APK оригинальный, подписан ключом WhatsApp Inc.
EnigMan
07.11.2017 13:40«Неизвестный источник» в моём понимании — это любой .apk полученный не из маркета. По-умолчанию установка таких приложений отключена и включается отдельно из настроек безопасности. В любом случае запрос на подтверждение прав приложения должен был появиться повторно.
zagayevskiy
07.11.2017 11:25lol
А я как-то тетрис c названием "Tetris" выложил в альфа-доступ в гуглплее. Не прошло и нескольких часов, как его заблочили насмерть, дескать оно нарушает права ЕА. Так и висит теперь в консоли разработчика немым напоминанием.safari2012
07.11.2017 13:38А какое отношение EA имеет к тетрису?
zagayevskiy
07.11.2017 14:20У них права на название, я так понимаю https://play.google.com/store/apps/details?id=com.ea.game.tetris2011_row
И статья про подобный случай в AppStore https://habrahabr.ru/company/papabubadiop/blog/205648/
Smallfan
07.11.2017 15:44Вообще интересно. Я много лет выкладываю несоответствующее правилам Google Play приложение. И когда количество скачек переваливает за ~500 тысяч, оно по всей видимости попадает на ручную модерацию, там бан. А тут аж до миллиона дожило.
hbrmdc
мрак, куда смотрит гугл?!
А в AppStore такое случается?
dopusteam
https://m.geektimes.ru/post/283760/
IonDen
Проверил ради интереса App store, по примерам из статьи теперь все гораздо лучше.
dopusteam
Мне кажется, на смену примерам из статьи появилось много новых подобных приложений
andrewdrone
Естественно. Лично видел фейковые Whatsapp и Viber. Отличить можно по разработчику и отзывам, но обычно на них никто не смотрит, слепо веря в безупречность аппстора
tropico
В AppStore меньше шансов такому пройти из-за ручного ревью всех приложений.
hbrmdc
не уверен, что ревью там ручное: пол года назад делал релиз — заняло всего несколько часов с момента запроса ревью до момента публикации. Либо они не спят в дневное время по МСК, либо ручной проверки там небыло
tropico
На английской википедии цитируется следующее (за 2013 год):
Также спросил коллег, у которых есть друзья/знакомые iOS-разработчики, все подтвердили что ревью ручное и первое самое длинное.
mazahakajay
Сколько же у них специалистов работает… или рабов?
rustavelli
да-да, вот эта какаха прошла все ревью и соответствует неповторимому стайлгайду от эпл.
itunes.apple.com/ru/app/icpdas-mqtt/id1071998856?mt=8