Зловред, который прикидывался антивирусом

Почему приложения надо ставить только из официальных источников — объясняем на примере поддельного Kaspersky Internet Security для Android.

Осторожно: поддельный Kaspersky Internet Security для Android

Почти в каждом посте про Android мы обязательно говорим, что приложения следует устанавливать только из официальных источников. И вот нам попался пример, который отлично иллюстрирует, почему: через совсем неофициальные источники мошенники распространяют банковский троян под видом популярных медиаплееров, приложений для фитнеса и чтения, а также… Kaspersky Internet Security для Android. Разберем этот случай немного подробнее.

Почему опасно устанавливать приложения из неофициальных источников

Что, собственно, не так с неофициальными источниками? То, что никто не знает, можно ли им доверять. В официальных магазинах приложений — будь то Google Play или, например, Huawei AppGallery — сотрудники контролирующих их компаний проверяют каждое приложение, которое разработчики хотят там разместить, и отсеивают откровенно зловредные. Компании большие, дорожащие своей репутацией и безопасностью своих клиентов, — у них есть и ресурсы, и мотивация заботиться о том, чтобы у пользователей не заводились зловреды.

Иногда зловреды все-таки пролезают даже в Google Play, но все же шанс встретиться с ними там намного ниже, чем на форумах, торрентах и каких-нибудь независимых сайтах. На маленьких, но гордых сторонних площадках приложения, скорее всего, не проверяет никто — в первую очередь потому, что особенно-то и некому этим заниматься. В результате эти приложения вполне могут оказаться не тем, за что себя выдают, а вообще чем угодно, в том числе и трояном.

При этом просто скачать зловреда на Android обычно недостаточно для того, чтобы заразиться. Эта операционная система устроена так, что установить и запустить опасное приложение, если оно не полагается на какие-то суперуязвимости нулевого дня для получения прав суперпользователя, довольно сложно: вас на каждом шагу будут спрашивать, правда ли вы хотите его установить, действительно ли согласны дать все нужные разрешения, и так далее. Для того чтобы убедить вас это сделать, злоумышленники прибегают к социальной инженерии — и довольно успешно.

Зловредный антивирус из неофициального источника

Вот пример: не так давно исследователи выпустили отчет, в котором рассказывали об Android-приложениях, распространяемых через различные фейковые сайты. Среди прочего там был и поддельный Kaspersky Internet Security для Android.

В Google Play наш настоящий мобильный антивирус сейчас называется Kaspersky Mobile Antivirus: Applock & Web Security. А мошенники распространяли свою подделку под именем Kaspersky Free Antivirus (продукт с таким названием у нас раньше был, но только для Windows).

Пользователь, скачавший этот фейковый «антивирус» с очень убедительного стороннего сайта, вместо антивируса получал — вот ирония! — банковский троян, известный как Teabot (наши защитные решения детектируют его как HEUR:Trojan-Banker.AndroidOS.Teaban или HEUR:Trojan-Banker.AndroidOS.Regon).

Почему именно в случае антивируса это особенно проблематично? Потому что пользователь не просто сам скачивает и устанавливает себе банковского трояна, а еще и дает ему все разрешения. Ведь для работы антивирусу — настоящему — действительно нужно много разрешений, в том числе и очень серьезных, таких как доступ к «Специальным возможностям» (Accessibility).

Ну и самое печальное, что обнаружить такой зловред, получается, нечему, ведь настоящий антивирус-то пользователь в результате и не установил.

Если завершить установку и выдать все запрашиваемые разрешения, троян Teabot получит возможность делать на Android-устройстве почти все что угодно. А умеет он многое: быть кейлоггером, воровать коды Google Authenticator и другими способами эксплуатировать свой доступ к «Специальным возможностям» — вплоть до получения полного удаленного контроля на Android-устройством. Еще бы, с такими-то правами.

Как быть уверенным, что не скачиваешь поддельное приложение

Teabot распространяют не только под видом антивируса, но и под видом известных государственных приложений, банковских приложений, программ для фитнеса, чтения и так далее. Их, конечно же, тоже ставить откуда попало не стоит. Если вам нужно то или иное приложение крупного банка, антивирус или, скажем, известная фитнес-программа — скачайте ее из официального магазина, она наверняка там есть. Лучше вообще отключить возможность установки приложений не из официальных источников, благо в Android такая функция предусмотрена.

Также стоит очень внимательно относиться к тому, какие разрешения вы даете приложениям. Если то же приложение для фитнеса вдруг просит у вас доступ к «Специальным возможностям» (Accessibility) — это повод как следует задуматься.

Ну и используйте настоящий антивирус, благо у Kaspersky Internet Security для Android есть полностью бесплатная версия, так что нет никакого смысла пытаться скачивать ее из сторонних источников. Вы можете найти наш антивирус как в Google Play, так и в Huawei AppGallery.

Советы