Эксперты рассказали, как Android-вредоносы проникают в Google Play Store

Эксперты рассказали, как Android-вредоносы проникают в Google Play Store

Эксперты рассказали, как Android-вредоносы проникают в Google Play Store

Ни для кого не секрет, что несмотря на все меры Google, вредоносным приложениям для Android удаётся пробраться в официальный магазин Play Store. Специалисты компании Bitdefender решили описать все методы, помогающие злоумышленникам обходить защитные меры Google Play Store.

Злонамеренные приложения могут принимать самые разные формы. Например, к легитимной программе «привязывают» адваре, которое впоследствии генерирует клики, на чем зарабатывают авторы.

Встречаются также и сложные трояны вроде Joker, которым удаётся не только пройти слои безопасности Google Play Store, но и заставить сотни тысяч пользователей установить себя в систему.

Помимо этого, существуют и фейковые приложения, скрывающие вредоносные функциональные возможности до тех пор, пока пользователь не расслабиться.

Само собой, Google постоянно работает над различными барьерами, которые не должны пропускать нежелательные программы в официальный магазин приложений. Однако находчивые злоумышленники все равно изобретают механизмы, позволяющие разместить их разработки в Play Store.

Исследователи компании Bitdefender опубликовали отчёт (PDF), в котором перечислены основные методы проникновения в Google Play Store.

Вредоносные функции зашифрованы и загружаются динамично. Один из способов, благодаря которому можно замаскировать злонамеренную составляющую, — полагаться на нативную динамическую библиотеку, которая загружается при первом запуске. Ее задача — расшифровать и загрузить вредоносный код.

Проверка временных интервалов. Довольно любопытная техника: жестко закодированная временная метка даёт понять адваре, когда нужно начинать отображать рекламные объявления. Здесь решаются две задачи: приложение проходит проверку Google Play Store и заодно пользователь не может сразу вычислить причину появления навязчивой рекламы.

Большой промежуток времени между рекламными объявлениями. Иногда авторы устанавливают до 350 минут задержки между показом рекламы. По словам экспертов, этого бывает достаточно для обхода защитных мер официального магазина приложений для Android.

Библиотеки с открытым исходным кодом. Такие библиотеки могут использоваться для запуска задач в фоновом режиме. С их же помощью можно отображать рекламу и использовать функции вроде «ShowAdsHideIcon».

Изначально безобидные SDK. Тоже известная техника — злоумышленник может загрузить в Play Store абсолютно легитимную версию приложения, после чего добавить к ней вредоносные функции через механизм обновления.

Специалисты призывают всегда помнить, что при скачивании приложения из официального магазина всегда существует доля риска. Так что проверяйте, пожалуйста, что вы скачиваете, а также взвешивайте необходимость установки каждой сомнительной программы.

Windows следит через GDID: как уменьшить цифровой хвост в системе

История с Windows-идентификатором GDID показала одну важную вещь: VPN может меняться, IP-адреса могут прыгать по странам, а сама установка Windows всё равно остаётся узнаваемой для Microsoft. GDID — это постоянный идентификатор устройства, который используется в сервисах компании, лицензировании, Microsoft Store и телеметрии.

Напомним, на днях стало известно, что 19-летнего хакера вычислили по идентификатору Windows. Что нужно сделать, чтоб минимизировать эти риски?

Полностью выключить эту функциональность красивой кнопкой нельзя. Но это не значит, что пользователь совсем беспомощен. Есть несколько способов хотя бы урезать объём данных, которые Windows отправляет наружу.

Первое — использовать локальную учётную запись вместо Microsoft Account. Именно вход через аккаунт Microsoft усиливает связку устройства, сервисов, OneDrive, Store и истории активности. Microsoft всё активнее подталкивает пользователей к онлайн-аккаунтам, но локальный профиль всё ещё остаётся более приватным вариантом.

Второе — отключить историю активности. Для этого нужно открыть Настройки → Конфиденциальность и безопасность → История активности и выключить сохранение истории активности. Да, вместе с этим могут пострадать удобные функции вроде синхронизации между устройствами, Phone Link и облачного буфера обмена. Но приватность почти всегда торгуется за удобство.

Третье — убрать лишнюю диагностику. В Windows 11 это находится в Настройки → Конфиденциальность и безопасность → Диагностика и отзывы. Там стоит отключить отправку опциональных данных отзывов. Базовую телеметрию система всё равно оставит, но хотя бы не будет тащить в Microsoft всё, что ей не обязательно знать.

Четвёртое — почистить фоновые сервисы и функции, которыми вы не пользуетесь: Phone Link, Nearby Share, облачную синхронизацию, лишние ИИ-фишки и автозагрузку. Чем меньше связей с экосистемой Microsoft, тем меньше поводов у системы стучаться наружу.

Важный момент: простая переустановка Windows не решает проблему магически. GDID обновится, но если снова войти в тот же Microsoft Account, новую установку можно связать со старой через аккаунт, активацию и историю сервисов.

RSS: Новости на портале Anti-Malware.ru