Новый баг Android позволяет поддельным приложениям запускаться вместо настоящих

Троянские программы – не такое уж привычное явление для Android, как принято считать. Несмотря на то что они действительно существуют и их явно больше, чем для iOS, большинство пользователей мобильной ОС от Google ни разу с ними не сталкивались. Это и немудрено. Всего-то и нужно, что скачивать софт только из Google Play и не пользоваться сторонними источниками, тем более если они не проверены. Ведь вероятность схлопотать какое-нибудь вредоносное приложение там гораздо выше, чем где-либо ещё. Но иногда бывает так, что основную опасность представляет даже не сам троян, а баг, который он эксплуатирует.

Android не так безопасен, как может показаться

А вы знали, что ваш Android-смартфон принадлежит не только вам?

В Android 9 Pie и более ранних версий обнаружен баг под названием Strandhogg 2.0, который позволяет фальшивым приложениям подменять оригинальные. Если не вдаваться в технические подробности ошибки, которые большинству наших читателей совершенно неинтересны, всё происходит довольно просто. В тот момент, когда пользователь запускает оригинальное приложение – причём неважно, что именно это будет за приложение, — произойдёт запуск фальшивого, которое заменит на экране оригинал.

Поддельные приложения для Android

Запуск настоящего приложения провоцирует запуск поддельного

Если злоумышленник ответственно подошёл к вопросу и срисовал оформление оригинала достаточно качественно, пользователь не сможет отличить интерфейс настоящего приложения от фальшивого. Однако копировать весь интерфейс нет никакой нужды. Достаточно просто срисовать страницу авторизации, на которой вводится логин и пароль, и подсунуть её ни о чём не подозревающей жертве. Та, скорее всего, не сообразит, что окно входа поддельное, поскольку запускалось-то оригинальное приложение, и введёт свои учётные данные, которые тут же улетят злоумышленникам.

Google делает из «Сообщений» настоящий аналог iMessage для Android

Приложения, эксплуатирующие баг, могут проникать на устройство самым разными способами, однако наиболее распространённым является загрузка из сомнительных источников. Пользователи, ищущие взломанные версии платных приложений в интернете, скачивают вредоносную программу, которая выдаёт себя за то, что они ищут, устанавливают на смартфон, терпят неудачу и забывают о произошедшем. Однако тем временем приложение остаётся на устройстве и ждёт, когда пользователь запустит банковский клиент, социальную сеть или почту, чтобы выкрасть данные для доступа.

У нас есть классный канал в Яндекс.Дзен. Присоединяйся.

По словам исследователей в области информационной безопасности компании Promon, этот баг чрезвычайно опасен. Он позволяет злоумышленникам действовать максимально скрытно, поскольку не имитирует оригинальное приложение и не пытается клонировать его иконку, а просто запускается в момент его запуска. А из-за новизны этой атаки большинство антивирусных программ пока не умеют правильно её идентифицировать и предупреждать пользователей об опасности, открывая злоумышленникам полный карт-бланш. В конце концов, запуск поддельной программы провоцирует сам баг, а она не содержит в себе никаких вредоносных элементов.

Защита Android от вирусов

Самый надёжный способ уберечься от вредоносных атак — это не скачивать приложения из интернета

Google со своей стороны уверяет, что знает о баге, а попытки его эксплуатации сторонним софтом пресекаются антивирусом Google Play Protect, который встроен во все Android-смартфоны с поддержкой Google Mobile Services. То есть, по сути, защищено подавляющее большинство аппаратов за исключением совсем небольшого круга. Видимо, Google забыла, что у неё под носом развивается целая ниша смартфонов от Huawei и Honor, которые Google Mobile Services не поддерживают и, соответственно, не имеют защитных механизмов, характерных для всех остальных устройств.

Google добавила в Android подтверждение покупок в интернете голосом

Я, как человек, который ни разу не становился жертвой троянских программ, всегда советовал следить за разрешениями, которые вы раздаёте свежеустановленным приложениям. Ведь именно за счёт них они могли получать контроль над устройством. Но приложения, эксплуатирующие баг Strandhogg 2.0, не запрашивают разрешений вообще, поскольку им не нужен доступ ни к службам геолокации, ни к памяти, ни к камере. Они не занимаются слежкой, а напрямую собирают учётные данные от аккаунтов в интересах своих создателей. Поэтому остаётся пользоваться только Google Play и надеяться, что Google не врёт, и Google Play Protect действительно может защитить от подобных атак.