Эксперты «Лаборатории Касперского» проанализировали объявления о продаже вредоносных приложений для Google Play на нескольких форумах в даркнете — русскоязычных и международных — с помощью сервиса Kaspersky Digital Footprint Intelligence. Цены на программы и аккаунты разработчиков (они необходимы, чтобы загружать приложения в магазин) доходят до 20 тысяч долларов США.
Несмотря на активную модерацию загружаемых в Google Play приложений, в него иногда проникают вредоносные и нежелательные версии и обновления программ. К сожалению, их часто обнаруживают уже после того, как устройства пользователей окажутся заражены.
В даркнете злоумышленники покупают и продают вредоносные приложения для Google Play, а также обновления для них, и рекламируют свои разработки. Чтобы загрузить зловред в стор, они покупают аккаунт разработчика в Google Play и загрузчик вредоносного кода. Аккаунты предлагают по цене от 60 до 200 долларов. Стоимость вредоносных загрузчиков варьируется от 2 до 20 тысяч долларов в зависимости от сложности, новизны и уникальности кода, а также от дополнительной функциональности.
Пример объявления о продаже загрузчика вредоносного кода для Google Play
В даркнете чаще всего предлагают встроить вредоносный код в криптовалютные трекеры, различные финансовые приложения, сканеры QR-кодов или приложения для знакомств. Такие программы выкладываются в Google Play, а вредоносный код злоумышленники добавляют позднее. Авторы объявлений также отмечают, сколько раз были скачены такие приложения, чтобы показать, сколько потенциальных жертв можно охватить. Чаще всего в сообщениях указывается пять тысяч загрузок или более.
За дополнительную плату злоумышленники могут обфусцировать код (затруднить анализ) приложения, чтобы усложнить обнаружение защитными решениями. Чтобы увеличить число загрузок, злоумышленники также используют рекламные возможности самого Google.
Авторы объявлений предлагают три способа сотрудничества: за долю от конечной прибыли, по подписке и за полное приобретение аккаунта или зловреда. Некоторые продавцы проводят аукционы на покупку своих продуктов, так как количество продаваемых лотов ограничено. Стоимость одного из подобных проанализированных предложений начиналась с 1500 долларов с шагом в 700 долларов. При этом, например, блиц-цена покупки (без торга) на одной из площадок составила 7 тысяч долларов.
Продавцы в даркнете также могут предложить опубликовать приложение за покупателя, чтобы тому не пришлось напрямую взаимодействовать с Google Play, но он всё равно мог получать информацию о пользователях. Чтобы снизить риски при заключении сделки, злоумышленники часто прибегают к услугам незаинтересованных посредников (эскроу).
«Вредоносные программы для мобильных устройств все еще одна из самых популярных киберугроз. Конечно, растёт и эффективность защитных решений. Но так как атакующие будут пытаться изобретать всё новые способы, чтобы добраться до данных и денег пользователей, владельцам смартфонов стоит проверять приложения, которые они скачивают: обращать внимание на разработчика, его рейтинг и оценки других пользователей. Важно использовать защитное решение, которое не даст загрузить зловред на устройство», — комментирует Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.
Чтобы обезопасить устройство от мобильных угроз, эксперты «Лаборатории Касперского» также рекомендуют пользователям:
- обращать внимание на то, какие разрешения вы выдаёте установленному приложению, нужны ли они ему для корректной работы;
- использовать надёжное защитное решение, такое как Kaspersky Premium, которое не даст загрузить и установить на устройстве зловред;
- скачивать приложения с легитимных ресурсов: это в любом случае существенно снижает риск столкнуться с киберугрозами по сравнению с неофициальными площадками;
- регулярно обновлять операционную систему и установленные приложения — вместе с ними разработчики выпускают патчи с исправлениями уязвимостей и ошибок.