Шпионские мессенджеры в Google Play: как распознать вредоносное приложение
Скачивать приложения даже из официальных магазинов нужно осторожно. Недавно исследователи обнаружили в Google Play несколько версий популярных мессенджеров, заражённых шпионским ПО. Внешне они выглядели как обычные приложения, однако с их помощью злоумышленники моли собирать большое количество данных о пользователях. Как работают такие вредоносные программы и как защититься — рассказывает в статье управляющий директор "Лаборатории Касперского" в Казахстане, Средней Азии и Монголии Валерий Зубанов.
В интернете можно найти много альтернативных версий популярных мессенджеров — например Telegram или WhatsApp. Это неофициальные модифицированные приложения, или "моды", которые предоставляют пользователям больше функций.
У официальных разработчиков на них разные точки зрения. Например, основатель Telegram Павел Дуров позитивно отзывался о появлении альтернативных клиентов и подчёркивал, что исходный код мессенджера открыт для независимых разработчиков. WhatsApp же выступил против подобных приложений, поскольку считает их небезопасными. За их использование пользователя могут даже забанить — временно или навсегда.
Пользоваться неофициальными мессенджерами действительно стоит с большой осторожностью. Даже если вы скачиваете приложение из официального магазина Google Play, вместе с ним можно загрузить опасный троянец или другое вредоносное ПО. С этим могут столкнуться пользователи из любых стран.
Совсем недавно эксперты обнаружили в Google Play несколько заражённых приложений, которые маскировались под версии Telegram на уйгурском, а также упрощённом и традиционном китайском языках. Пользователей уверяли, что они будут работать быстрее других клиентов благодаря распределённой сети центров обработки данных, расположенных по всему миру. Внешне приложения были очень похожи на официальную версию Telegram. Когда эксперты изучили код, выяснилось, что это не просто модифицированные, а заражённые версии мессенджера. В них добавили дополнительный модуль — он следил за тем, что происходит в мессенджере, и пересылал на командный сервер злоумышленников данные: имя и номер телефона владельца аккаунта, контакты, входящие и исходящие сообщения, вложенные файлы, названия чатов и каналов. Компания Google заявила после этого инцидента, что все приложения удалены из Google Play.
В этом году исследователи также обнаружили много вредоносных версий WhatsApp и Telegram, в первую очередь нацеленных на кражу криптовалюты. Они подменяли адреса криптокошельков в сообщениях пользователей, чтобы перехватывать переводы. Некоторые поддельные мессенджеры крали информацию пользователей, хранящуюся в облаке Telegram. Речь идёт о номерах телефонов, контактах, сообщениях, вложенных файлах.
Важно, что подобные приложения могут находиться в официальных магазинах достаточно долго — модераторы могут не сразу их обнаружить. Например, шпионская версия Telegram под названием FlyGram, которую ранее находили эксперты, можно было скачать из Google Play с июля 2020 года по январь 2021 года, а в Samsung Galaxy Store, согласно данным BleepingComputer, она была доступна ещё в конце августа 2023 года.
Чтобы защититься от злоумышленников, рекомендуем соблюдать несколько правил:
- скачивать приложения только из официальных источников — несмотря на то, что даже магазины вроде GooglePlay не могут дать полную гарантию безопасности, риск столкнуться со злоумышленниками там ниже;
- перед установкой из магазина внимательно проверять страницу приложения — они могут быть очень похожи на настоящие. Обязательно стоит проверить, кто разработчик. Если есть возможность, можно зайти напрямую на официальный сайт приложения и скачать приложение там;
- изучать отзывы — в них пользователи могут сообщить о проблемах, на которые ещё не успели обратить внимание модераторы. При любых подозрениях лучше отказаться от скачивания приложения;
- с осторожностью пользоваться альтернативными клиентами приложений: в этом случае стоит взвесить, насколько оправданно их использование с учётом рисков;
- использовать специальное защитное решение, которое сможет обнаружить и нейтрализовать вредоносное ПО на устройстве.