Новый баг Android позволяет поддельным приложениям запускаться вместо настоящих
Троянские программы - не такое уж привычное явление для Android, как принято считать. Несмотря на то что они действительно существуют и их явно больше, чем для iOS, большинство пользователей мобильной ОС от Google ни разу с ними не сталкивались. Это и немудрено. Всего-то и нужно, что скачивать софт только из Google Play и не пользоваться сторонними источниками, тем более если они не проверены. Ведь вероятность схлопотать какое-нибудь вредоносное приложение там гораздо выше, чем где-либо еще. Но иногда бывает так, что основную опасность представляет даже не сам троян, а баг, который он эксплуатирует.
В Android 9 Pie и более ранних версий обнаружен баг под названием Strandhogg 2.0, который позволяет фальшивым приложениям подменять оригинальные. Если не вдаваться в технические подробности ошибки, которые большинству наших читателей совершенно неинтересны, все происходит довольно просто. В тот момент, когда пользователь запускает оригинальное приложение - причем неважно, что именно это будет за приложение, - произойдет запуск фальшивого, которое заменит на экране оригинал.
Поддельные приложения для Android
Если злоумышленник ответственно подошел к вопросу и срисовал оформление оригинала достаточно качественно, пользователь не сможет отличить интерфейс настоящего приложения от фальшивого. Однако копировать весь интерфейс нет никакой нужды. Достаточно просто срисовать страницу авторизации, на которой вводится логин и пароль, и подсунуть ее ни о чем не подозревающей жертве. Та, скорее всего, не сообразит, что окно входа поддельное, поскольку запускалось-то оригинальное приложение, и введет свои учетные данные, которые тут же улетят злоумышленникам.
Приложения, эксплуатирующие баг, могут проникать на устройство самым разными способами, однако наиболее распространенным является загрузка из сомнительных источников. Пользователи, ищущие взломанные версии платных приложений в интернете, скачивают вредоносную программу, которая выдает себя за то, что они ищут, устанавливают на смартфон, терпят неудачу и забывают о произошедшем. Однако тем временем приложение остается на устройстве и ждет, когда пользователь запустит банковский клиент, социальную сеть или почту, чтобы выкрасть данные для доступа.
По словам исследователей в области информационной безопасности компании Promon, этот баг чрезвычайно опасен. Он позволяет злоумышленникам действовать максимально скрытно, поскольку не имитирует оригинальное приложение и не пытается клонировать его иконку, а просто запускается в момент его запуска. А из-за новизны этой атаки большинство антивирусных программ пока не умеют правильно ее идентифицировать и предупреждать пользователей об опасности, открывая злоумышленникам полный карт-бланш. В конце концов, запуск поддельной программы провоцирует сам баг, а она не содержит в себе никаких вредоносных элементов.
Защита Android от вирусов
Google со своей стороны уверяет, что знает о баге, а попытки его эксплуатации сторонним софтом пресекаются антивирусом Google Play Protect, который встроен во все Android-смартфоны с поддержкой Google Mobile Services. То есть, по сути, защищено подавляющее большинство аппаратов за исключением совсем небольшого круга. Видимо, Google забыла, что у нее под носом развивается целая ниша смартфонов от Huawei и Honor, которые Google Mobile Services не поддерживают и, соответственно, не имеют защитных механизмов, характерных для всех остальных устройств.
Я, как человек, который ни разу не становился жертвой троянских программ, всегда советовал следить за разрешениями, которые вы раздаете свежеустановленным приложениям. Ведь именно за счет них они могли получать контроль над устройством. Но приложения, эксплуатирующие баг Strandhogg 2.0, не запрашивают разрешений вообще, поскольку им не нужен доступ ни к службам геолокации, ни к памяти, ни к камере. Они не занимаются слежкой, а напрямую собирают учетные данные от аккаунтов в интересах своих создателей. Поэтому остается пользоваться только Google Play и надеяться, что Google не врет, и Google Play Protect действительно может защитить от подобных атак.
