13/09/2019

Wszystkie aplikacje w Sklepie Google Play są bezpieczne – prawda czy fałsz?

Zagrożenia

Zawsze zalecamy, aby aplikacje dla urządzeń z Androidem pobierać tylko z oficjalnych sklepów. Jednak nie oznacza to, że w Sklepie Google Play nie ma wirusów. Prawdą jest, że jest ich tam mniej niż w innych miejscach, a także że regularnie są one stamtąd usuwane.

W jaki sposób firma Google monitoruje bezpieczeństwo aplikacji dla Androida

Przedostanie się szkodliwego programu do sklepu Google Play nie jest jakiś wielkim wyczynem. Zanim sklep udostępni aplikację, moderatorzy sprawdzają, czy jest ona zgodna z obszerną listą wymagań. Jeśli znajdą coś niepożądanego, zablokują dostępność programu w sklepie.

Jednak w sklepie Google Play pojawia się tak wiele nowych aplikacji oraz aktualizacji dla tych istniejących, że moderatorzy zwyczajnie nie są w stanie wszystkiego dopilnować. W efekcie od czasu do czasu pojawiają się w nim szkodliwe aplikacje. Oto kilka najlepiej ilustrujących to przykładów.

Reklamy, których nie chcesz widzieć

Niedawno nasi badacze wykryli szkodliwy kod w aplikacji CamScanner służącej do digitalizacji dokumentów. Aplikacja nie tylko była dostępna w sklepie Google Play, lecz według dostępnych w nim danych została zainstalowana przez ponad 100 mln użytkowników.

Do pewnego momentu CamScanner była zwyczajną aplikacją, która robiła to, co deklarowali jej autorzy. Zarabiali oni na reklamach i płatnych funkcjach. Jednak sytuacja uległa zmianie, gdy do aplikacji dodano szkodliwy moduł reklamowy.

Szkodliwy program w postaci trojana droppera Necro.n przedostał się do jednego z modułów reklamowych i zainstalował innego trojana, którego zadaniem było pobranie na urządzenie jeszcze innego paskudztwa — na przykład aplikacji reklamowych i programów potajemnie zapisujących użytkownika do płatnych subskrypcji firm zewnętrznych.

Nasi eksperci zgłosili swoje odkrycie firmie Google, a jej administratorzy usunęli aplikację ze sklepu. Programiści odpowiedzialni za aplikację CamScanner również szybko usunęli z niej szkodliwe moduły, aby mogła powrócić do sklepu. Jednak zainfekowana wersja była przez jakiś czas dostępna do pobrania.

Odtwarzacz, który okazał się złodziejem

CamScanner to nie jedyny przykład aplikacji, która otrzymała szkodliwą funkcjonalność już po pojawieniu się w sklepie Google Play. Twórcy trojana występującego pod postacią odtwarzacza muzycznego w rosyjskiej sieci społecznościowej VKontakte (VK) przez kilka lat omijali w ten sam sposób kontrolę, jaką przeprowadzają moderatorzy.

Początkowo w sklepie Google Play została udostępniona nieszkodliwa wersja aplikacji, jednak później została ona zaktualizowana o szkodliwe funkcje. Po jakims czasie aplikacja zaczęła kraść loginy i hasła do kont w sieci VK. Co więcej, ofiary najprawdopodobniej nic o tym nie wiedziały, a ich konta były potajemnie wykorzystywane do promowania grup w portalu VK.

Gdy zaktualizowana wersja odtwarzacza została zdemaskowana i usunięta ze sklepu, jej autorzy natychmiast przesłali nową (a w zasadzie kilka). W 2015 roku ze sklepu Google Play zostało usunięte aż siedem rożnych wersji wspomnianego szkodliwego programu, a w 2016 r. kolejne. W ciągu dwóch miesięcy 2017 roku nasi analitycy naliczyli 85 takich aplikacji w sklepie Google Play, z których jedna została pobrana ponad milion  razy. Ponadto w sklepie pojawiły się również fałszywe wersje aplikacji Telegram tych samych autorów — nie kradły one haseł, lecz dodawały ofiary do grup i czatów wskazanych przez cyberprzestępców.

Szkodliwa armia w sklepie Google Play

Jakby tego było mało, 85 kopii jednej szkodliwej aplikacji to nie wszystko. W 2016 roku eksperci wykryli w sklepie Google Play aż 400 gier i innych programów wyposażonych w trojana DressCode.

Po przedostaniu się na urządzenie ofiary szkodliwy program nawiązywał połączenie z serwerem poleceń, a następnie wprowadzał się w stan uśpienia. Następnie cyberprzestępcy mogli użyć takich uśpionych gadżetów do przeprowadzania ataków DDoS, aby zwiększać liczbę kliknięć banerów reklamowych lub przenikać do sieci lokalnej, z którą łączyły się urządzenia, np. do sieci domowej lub infrastruktury firmy.

Nie można za to obwiniać moderatorów sklepu Google Play: DressCode jest trudny do zidentyfikowania, gdyż jego kod jest tak mały, że wizualnie zanika. Ponadto znacznie więcej zainfekowanych programów zostało dostrzeżone po stronie podmiotów zewnętrznych niż w sklepie Google Play — ogólnie badacze zidentyfikowali około 3 000 gier, skinów i aplikacji służących do czyszczenia smartfona, które zawierały trojana DressCode. Jednak 400 to i tak bardzo dużo.

Jak nie zgarnąć szkodliwego programu ze sklepu Google Play

Jak widać, sam fakt, że aplikacja trafiła do oficjalnego sklepu dla urządzeń z systemem Android, nie oznacza, że jest ona bezpieczna — czasami zawierają one szkodliwe programy. Aby uniknąć infekcji, należy z rezerwą podchodzić do wszystkich programów, w tym tych ze sklepu Google Play, oraz stosować podstawowe zasady cyberhigieny.

  • Nie pobieraj aplikacji na swój smartfon od razu. Przeczytaj opinie użytkowników — możesz tam znaleźć wiele cennych informacji na temat jej zachowania. Poszukaj również informacji na temat producenta — być może jego poprzednie programy zostały usunięte ze sklepu lub mają on jakąś podejrzaną historię.
  • Uważnie poczytaj opinie użytkowników. Pamiętaj, że zdarzają się nieuczciwi producenci, którzy zalewają swoje strony pozytywnymi opiniami, dlatego lepiej bierz pod uwagę raczej te, które wyglądają przyzwoicie (pomijaj te w stylu „Świetna apka!”) i których język brzmi naturalnie.
  • Staraj się raz w miesiącu usuwać ze smartfona lub tabletu z systemem Android niepotrzebne programy. Im mniej aplikacji masz na urządzeniu, tym łatwiej będzie Ci go monitorować.
  • Używaj niezawodnego rozwiązania zabezpieczającego — które zapewni Ci ochronę przed zagrożeniami ze sklepu Google Play, które mogłyby umknąć moderatorom.

Czy więc prawdą jest, że w sklepie Google Play nie ma szkodliwych aplikacji?

To nieprawda. Szkodliwe programy okazjonalnie pojawiają się w sklepie Google Play. Ryzyko infekcji z oficjalnego sklepu dla platformy Android jest znacznie niższe niż w przypadku stron innych producentów, jednak nadal istnieje.