Опасный модуль-шпион был обнаружен в приложении для смартфона на Android
Эксперты сообщили, что программный модуль SpinOk для устройств на Android, способный осуществлять шпионаж над пользователями, присутствует в приложениях, загруженных более 421 миллиона раз. Этот факт был подтвержден специалистами компании «Доктор Веб». Они отметили, что разработчики внедряют SpinOk в различные игры и приложения для Android, доступные, включая Google Play. О том, как этот модуль-шпион попал в приложение для Android, сообщает издание «Известия».
В приложении для Android нашли модуль-шпион
SpinOk, шпионский модуль, который интегрируется в различные игры и приложения для Android, был обнаружен экспертами компании «Доктор Веб». Они объяснили, что модуль распространяется в виде маркетингового SDK, которое предлагает пользователям мини-игры, разнообразные задания и возможность выигрыша призов. SpinOk устанавливает соединение с C&C-сервером (управляющий сервер), после чего отправляет техническую информацию о зараженном устройстве, включая данные с сенсоров, — передаёт pronedra.ru.
Благодаря этой методике, шпионский модуль обходит эмуляторы и скрывает свою активность от специалистов в области информационной безопасности. Кроме того, модуль расширяет возможности JavaScript-кода на рекламных веб-страницах, загружаемых в WebView. Такой код может получать список файлов из указанных директорий, а также проверять наличие определенного файла или директории на устройстве.
Кроме того, код способен получать файлы, просматривать и изменять содержимое буфера обмена на устройстве. Это позволяет злоумышленникам получать доступ к конфиденциальной информации и файлам пользователя. Специалисты «Доктор Веб» обнаружили, что троянский модуль и его модификации содержатся в 101 приложении, которые распространяются через каталог Google Play.
Эксперты отметили, что сотни миллионов владельцев Android-устройств подвергаются риску кибершпионажа. Компания «Доктор Веб» также информировала Google о выявленной угрозе.
Пути проникновения угрозы
По словам Дмитрия Овчинникова, главного специалиста отдела комплексных систем защиты информации в компании «Газинформсервис», в настоящее время программное обеспечение (ПО) редко разрабатывается «с нуля», а скорее создается на основе уже готовых модулей, пакетов и фреймворков. Разработчики стремятся использовать эти «кирпичики» и добавлять новый функционал, что значительно ускоряет процесс разработки и снижает стоимость конечного продукта. Эксперт объясняет, что это является обычной практикой по всему миру, и существуют специальные методики безопасной разработки, например, SDL (Security Development Lifecycle).
Согласно концепции SDL, разработчики должны проверять сторонние модули на наличие уязвимостей или скрытого функционала. Однако, в случае с шпионским модулем SpinOk, как отмечает Дмитрий Овчинников, такая проверка не была проведена, и вредоносное ПО оказалось встроенным в SDK (набор инструментов для разработки программного обеспечения).
Эксперт указывает на то, что существует множество подобных способов распространения вредоносных программ, но обычно они быстро обнаруживаются на начальном этапе проектирования ПО. Однако, использование сторонних модулей неизбежно создает риск включения функционала, о котором разработчики не подозревают. Подобные проблемы могут быть выявлены при тестировании готового продукта.
Евгений Баклушин, руководитель направления аудитов и соответствия требованиям информационной безопасности в компании «Уральский центр систем безопасности», объясняет, что для пользователей шпионские модули представляют опасность, так как они могут наблюдать за ними, записывать экран, перехватывать разговоры, копировать набираемый текст и красть фотографии, данные и пароли от важных приложений, таких как «Госуслуги» и банковские приложения.
Признаки «заболевания» телефона
По словам Екатерины Старостиной, эксперта в области кибербезопасности компании «Вебмониторэкс», существует несколько признаков, которые могут указывать на то, что Android-приложение следит за пользователем. Пользователь должен быть бдительным, если приложение запрашивает доступ к большому объему личной информации, не связанной с его функциональностью.
«Еще одним тревожным сигналом является запрос приложения на доступ к камере, микрофону, SMS-сообщениям, звонкам или контактам без объяснения причин», рассказывает эксперт. «Также стоит быть осторожным, если приложение не имеет официального веб-сайта, разработчик не указан или информация о них недоступна».
Также указывает на наличие вредоносного ПО непонятный или несоответствующий заявленному функционал. Другие предупреждающие признаки включают частые обновления приложения, о которых не сообщается в описании обновления, или наличие скрытого функционала, который также не указан.
«Обратите внимание на приложение, если оно запрашивает доступ к другим приложениям, сети, файлам и папкам на устройстве без объяснения причин или без необходимости», советует Екатерина Старостина.
С другой стороны, Дмитрий Овчинников рекомендует не игнорировать антивирусное ПО на мобильном устройстве и соблюдать несколько простых правил при установке приложений. В первую очередь, следует избегать установки ПО из неизвестных источников и использовать только приложения из официальных магазинов приложений. Это поможет снизить вероятность заражения шпионским модулем или вирусом.