Почему вредоносное ПО для телефонов все еще остается проблемой

Еще в 2017 году Google запустил Play Protect в своем магазине Android Play. Проблема заключалась в том, что вредоносное ПО и вирусы в экосистеме Android стали безудержными, а проверок было мало.

Play Protect был ответом Google на отсутствие безопасности в сети приложений Android. Итак, как дела?

[Отчет AV-TEST за 2020 г.] (https://www.av-test.org/en/antivirus/mobile-devices/android/may-2020/google-play-protect-20.1-202208/) показал, что Play Protect не делает достаточно для фильтрации вредоносных программ. На самом деле, по сравнению со сторонними решениями для блокировки вредоносных программ, Play Protect обнаруживает и блокирует чуть более 79% по сравнению с 98% для других решений.

Итак, что это означает для обычного пользователя смартфона или разработчика приложений?

Что такое вредоносное ПО на Android?

Вредоносное ПО для телефонов может быть установлено по разным причинам: от троянов, предназначенных для кражи банковских учетных данных, или уязвимостей бэкдора до рекламного ПО.

Только в 2021 году в мире было зарегистрировано чуть менее 3,5 миллионов установочных пакетов вредоносных программ, причем большинство из них в таких странах, как Иран, Китай и Саудовская Аравия. Согласно [отчету «Лаборатории Касперского»] (https://securelist.com/mobile-malware-evolution-2021/105876/), это число также снизилось с 5,68 миллиона установок в 2020 году.

![Изображение предоставлено: Kaspersky] (https://cdn.hackernoon.com/images/RKMlJx8lfbWMC35XuP6ocaanBzi1-zp93gwa.png)

Как уже упоминалось, рекламное ПО является наиболее распространенным вредоносным ПО для телефонов. Обычно это происходит в виде навязчивых всплывающих окон на экране вашего телефона. Но это также могут быть кликеры для мошенничества с рекламой, такие как DrainerBot и 404Bot.

DrainerBot — интересный пример вредоносного ПО для Android, которое предназначено для просмотра видеорекламы без ведома устройства. пользователя - процесс, известный как мошенничество с рекламой. Помимо оттока рекламного бюджета маркетологов приложений, это также разрядило батарею и высосало лимиты данных пользователей, используя около 5 ГБ в месяц для мошеннических просмотров!

Было бы легко сказать, что проблема здесь в Android; однако проблема не ограничивается магазином приложений Google.

Вредоносное ПО на iOS

В конце 2020 года компания AppSec Snyk.io обнаружила уязвимость в системе безопасности Apple App Store. По прозвищу SourMint команда Snyk опубликовала отчет, в котором говорится, что [SourMint] (https://snyk.io/blog/sourmint-malicious-code-ad-fraud-and-data-leak-in-ios/) несет ответственность за ряд мошеннических процессов, включая мошенничество с рекламой и регистрацию данных.

В то время Apple отрицала наличие проблемы, но с тех пор они молча выполнили ряд обновлений в App Store.

Хотя может быть аргумент, что безопасность Apple лучше, чем у Google, правда в том, что это не первый случай вредоносного ПО в App Store.

Фактически, вредоносное ПО остается проблемой для устройств Apple так же, как и для устройств Android и Windows.

Так как это все еще проблема?

Как устанавливается вредоносное ПО

У Apple и Google есть процессы для проверки и мониторинга того, что распространяется в их соответствующих магазинах приложений. Хотя Apple, безусловно, контролируется наиболее строго, Google Play Protect добавила безопасный уровень к тому, что было печально известно некачественным программным обеспечением.

Но ни один из них не остановил постоянный поток загруженных вредоносным ПО приложений.

Так как же вредоносные программы попадают в такие программы, как приложения и расширения?

Вредоносное ПО устанавливается в программное обеспечение путем «неопубликованной загрузки». По сути, это означает, что пакет данных добавляется после первоначальной загрузки, что добавляет вредоносный код.

Другой вектор — установка приложений из интернета и обход проверок магазинов приложений. Как ни странно, это также называется боковой загрузкой, что означает, что два основных метода установки вредоносного ПО — это боковая загрузка или боковая загрузка.

По сути, этот дополнительный элемент внедряется в программное обеспечение, что может произойти в любое время после первоначальной установки. Это может быть при первом запуске программного обеспечения или следующем доступном обновлении.

Но откуда берутся эти вредоносные элементы? Кто устанавливает их в эти приложения? В конце концов, многие из этих приложений являются подлинным программным обеспечением, созданным разными компаниями. Все они не могут быть мошенниками?

Проблема с SDK

В большинстве случаев элементы вредоносного ПО упакованы в SDK или комплекты для разработки программного обеспечения. Эти наборы используются для разработки приложений разными разработчиками, а это означает, что любой, кто использует этот SDK, эффективно строит программное обеспечение, которое может быть внедрено с вредоносным ПО.

Drainerbot, упомянутый выше, был построен на SDK от компании TapCore. А вредоносное ПО SourMint пришло из SDK компании Mintegral.

Также известен случай двух компаний JediMobi и LionMobi, которые оба были обвинены Facebook в добавлении элементов click-injection в свои наборы приложений.

В большинстве этих случаев разработчики SDK отрицали, что знают о наличии вредоносных программ. Хотя LionMobi и JediMobi отрицали свою причастность к какой-либо форме кампаний по мошенничеству с кликами, в конечном итоге они договорились с Facebook.

Так что, если эти разработчики комплектов приложений намеренно не упаковывают свое программное обеспечение с вредоносным ПО, откуда оно берется? И кто получает нечестно нажитое?

Кто выигрывает от вредоносных программ на основе приложений?

Считается, что вредоносные программы в приложениях и комплектах программного обеспечения добавляются мошенниками. Эти SDK доступны для скачивания, иногда бесплатно. Наиболее вероятным объяснением проникновения кодировщиков вредоносных программ является взлом или бот, который вставляет вредоносный код.

Мошенник, часто не имеющий никакого отношения к владельцам SDK, получит доступ к растущей базе данных устройств. И из своего собственного центра управления и контроля они могут выполнять любые формы мобильного мошенничества, какие захотят: наиболее распространенные методы цифрового мошенничества, кейлоггинга и кражи данных.

Все чаще разработчики обращаются к безопасности приложений, известной как AppSec, которая гарантирует, что уязвимости не будут использованы в этих комплектах программного обеспечения. Хотя их часто считают «еще одним продуктом безопасности», правда заключается в том, что блокирование мошенничества на этом уровне может устранить гораздо более разрушительное мошенничество на более высоких уровнях цифровой пищевой цепочки.

А поскольку общая стоимость цифрового мошенничества уже оценивается более чем в 100 миллиардов долларов в год, предотвращение вредоносных программ и мошеннических приложений является главным приоритетом для разработчиков приложений. Оценка уязвимости — это наиболее эффективный способ для разработчиков приложений и разработчиков SDK снизить вероятность заражения мобильных телефонов вредоносными программами. программное обеспечение.