Компания по цифровой безопасности провела исследование и обнаружила семь мошеннических приложений в Google Play и Apple App Store, которые принесли своим разработчикам более полумиллиона долларов.

Avast обнаружил вредоносные программы после того, как 12-летняя девочка увидела подозрительное приложение, продвигаемое в профиле TikTok в рамках своего проекта Be Safe Online в Чешской Республике, где базируется компания.

Рекламные приложения были загружены более 2,4 миллиона раз, а их разработчики заработали более 500 000 долларов США, сообщает Avast в своем блоге.

По словам Avast, многие приложения продвигаются в TikTok как минимум в трех профилях, у одного из которых более 300 000 подписчиков. Также было обнаружено, что аналогичный профиль в Instagram с более чем 5000 подписчиков продвигает одно из мошеннических приложений.

Avast объяснил, что программы представляют собой развлекательные приложения, которые либо активно отображают рекламу, либо берут от 2 до 10 долларов за покупку программного обеспечения.

Он добавил, что некоторые из приложений являются троянами HiddenAds, которые маскируются под безопасные приложения, но показывают рекламу вне приложения.

«Обнаруженные нами приложения являются мошенническими и нарушают политику приложений Google и Apple, либо делая вводящие в заблуждение заявления о функциях приложения, либо размещая рекламу за пределами приложения и скрывая оригинальный значок приложения вскоре после его установки», — заявил Якуб Вавра, аналитик по угрозам в Avast.

«Особое беспокойство вызывает то, что приложения продвигаются на платформах социальных сетей, популярных среди детей младшего возраста, которые могут не распознавать некоторые опасности, окружающие приложения, и поэтому могут активно использовать их», — добавил он.

Трудно обнаружить

Трояны HiddenAds могут быть особенно опасны, поскольку они будут продолжать показывать рекламу даже после удаления приложения, в котором они были установлены.

«Благодаря тому, что рекламное ПО устанавливается отдельно через исходное приложение, оно классифицируется как троян, а не просто как рекламное ПО», — пояснил Джонатан Таннер, старший исследователь безопасности в Barracuda Networks.

«Оригинальное приложение обманом заставляет пользователя заразить свое устройство реальным рекламным ПО, а не просто действовать как реклама», — сказал он TechNewsWorld.

Поскольку приложение загружает рекламное ПО и не обслуживает саму рекламу, ненандежное приложение должно быть легче обнаружить, но оно снижает свой профиль, ограничивая себя только функциями, используемыми законными программами, и ничего более.

«Обычно это хороший способ обнаружения вредоносных программ», — сказал Таннер. «Вредоносное ПО часто требует большего контроля над смартфоном, чем доступно разработчикам, часто требует рутирования телефона, что легче обнаружить».

Рекламное ПО, как правило, бывает трудно обнаружить, потому что реклама является обычным явлением внутри приложений. «Рекламное ПО заходит слишком далеко в этой пркатике, либо слишком агрессивно, истощая вычислительные ресурсы и пропускную способность, либо используя менее уважаемые рекламные сети, которые могут распространять вредоносное ПО», — пояснил Таннер.

«Обнаружение инвазивной рекламы по сравнению с простым баннером потребует детального изучения приложения или обратного проектирования его кода, что может быть сложно и требует много времени для выполнения в масштабе», — сказал он.

«Обнаружение вредоносных рекламных сетей требует отслеживания того, какие рекламные из них являются законными, а какие нет, что, опять же, является нетривиальной задачей», — продолжил он. «Как и в случае с самими приложениями, рекламные сети могут внезапно перейти от безопасных к вредоносным, если не тот рекламодатель зарегистрируется и имеет слишком много свободы в отношении разрешенного контента».

Влияние известных личностей

Магазину приложений может быть сложно отмечать программы, которые взимают деньги, но предлагают небольшую или тривиальную функциональность, если они соответствуют своим требованиям, какими бы ничтожными они ни были.

«Например, всплеск количества приложений-фонариков в первые дни существования App Store был в основном законным, хотя и сомнительным соотношением цены и качества», — сказал Крис Клементс, вице-президент по архитектуре решений Cerberus Sentinel, компании, занимающейся консалтингом в области кибербезопасности и тестирования на проникновение.

«С тех пор магазины Apple и Google пытались расправиться с приложениями, которые выполняют незначительные функции, — сказал он в интервью, — однако определение того, что представляет собой незначительность функций, может быть непонятным для обозревателей».

Неопытные пользователи также могут облегчить работу с теневыми приложениями. «Мобильные устройства – это «черный ящик» для большинства пользователей, и они плохо разбираются в том, что происходит на более глубоком уровне устройства», — сказал Сарью Найяр, генеральный директор Gurucul, компании по анализу угроз из Эль-Сегундо, Калифорния.

«Существует ряд приемов, которые разработчики мобильных приложений могут использовать, чтобы скрыть функционал от случайного пользователя», — добавил эксперт.

Пользователи таких сетей, как TikTok, также могут быть слишком подвержены влиянию известных личностей в социальных сетях. «Многие влиятельные лица в социальных сетях будут брать деньги за продвижение продуктов или приложений, не исследуя их законность», — утверждает Клементс.

«Экосистема влиятельных лиц является сверхконкурентной, и рекламные акции даже от тех, у кого большая аудитория, можно купить почти бесплатно», — добавил он.

Использование социальных ситуаций

«Использование профилей TikTok для продвижения мошеннических приложений — это лишь одна из причин злоупотребления популярными каналами для получения прибыли от ничего не подозревающих фанатов», — отметил Бен Пик, старший консультант по безопасности приложений в nVisium, провайдере безопасности приложений из Фолс-Черч, штат Вирджиния.

«Лучший способ избежать уязвимости — это проверить загружаемое приложение и не переходить по ссылке прямо из профиля пользователя», — рекомендует эксперт.

«Проверяйте наличие чрезмерных разрешений и многочисленных отрицательных отзывов, чтобы предотвратить загрузку подобных мошеннических приложений или явно вредоносных программ», — добавил он.

Еще одним фактором, влияющим на загрузку этих вредоносных рекламных приложений, мог быть неизбежный запрет TikTok администрацией Трампа, который провалился, когда социальному приложению удалось заключить сделку с Oracle и Walmart, которая удовлетворила Вашингтон.

«Мы часто видим, как злоумышленники используют социальные ситуации в своих интересах», — отмечает Хэнк Шлесс, старший менеджер по решениям безопасности Lookout, поставщика мобильных фишинговых решений из Сан-Франциско.

«В этом случае, — сказал он в интервью, — они знают, что люди поспешили загрузить TikTok перед запретом, и эти новые пользователи ищут влиятельных лиц, за которыми они будут следовать, когда подписываются на приложение».

Обратите внимание на отзывы

Один из простейших способов не стать жертвой мошенничества с рекламным ПО — прочитать отзывы о приложении. «При загрузке приложения, очень важно прочитать отзывы о нем и проверить рейтинги», — говорит Джеймс МакКвиган, эксперт по вопросам безопасности KnowBe4.

«Обратите особое внимание на негативные отзывы», — добавил Клементс из Cerberus Sentinel. «Мошенники часто используют ботов или платят за ложные положительные отзывы», — пояснил он.

МакКвиган также сообщил, что при появлении запросов на установку приложения из рекламы в профиле или на веб-сайте очень важно проявить должную осмотрительность в отношении приложения, чтобы убедиться, что оно не является вредоносным.

По материалам: Technewsworld