Как приложения для смартфонов крадут деньги и личные данные

И как защититься

4
Как приложения для смартфонов крадут деньги и личные данные

Если у вас есть смартфон, вы в группе риска.

Уязвимости находят даже в популярных приложениях, что уж говорить о малоизвестных и скачанных из неофициальных магазинов. Благодаря этим уязвимостям ваши личные данные и деньги могут попасть в руки разных нехороших ребят, которые обязательно используют полученное в своих целях: будут шантажировать приватными переписками и фото, следить за вашими передвижениями, выведут деньги с карт.

Вот что угрожает пользователям смартфонов.

Фальшивые приложения

Такие приложения изначально не то, чем кажутся. Они попадают на телефоны жертв под видом других сервисов и превращаются в бомбы замедленного действия.

Одни из них относительно безобидны: они не воруют данные, а только зарабатывают на показах рекламы. В начале 2019 года разработчики антивируса «Эсет» обнаружили 19 приложений, которые маскировались под «Гугл-карты». Они использовали официальное приложение Гугла, но создавали дополнительный слой, на котором крутили рекламу. Некоторые предлагали купить платную версию без рекламы.

В сумме эти приложения скачали 50 миллионов раз. Доверие вызывали скриншоты оригинального приложения и высокие оценки, которые ставили неразобравшиеся пользователи
В сумме эти приложения скачали 50 миллионов раз. Доверие вызывали скриншоты оригинального приложения и высокие оценки, которые ставили неразобравшиеся пользователи

Вариант похуже — когда приложения воруют данные или деньги. Для этого злоумышленники выпускают клоны программ, которые получают доступ к картам и счетам. Это могут быть банковские сервисы, онлайн-магазины или программы для оплаты штрафов и налогов. Мы уже писали про фальшивое приложение «Мой налог» для самозанятых, которое предлагало задекларировать доход и уплатить его с выгодной ставкой. Все бы хорошо, но был нюанс: деньги уходили не в налоговую, а в карман мошенников.

Фальшивые приложения «Мой налог» появлялись в Эпсторе — это доказывает, что под прицелом не только пользователи устройств на Андроиде
Фальшивые приложения «Мой налог» появлялись в Эпсторе — это доказывает, что под прицелом не только пользователи устройств на Андроиде

Как защититься. Скачивать приложения по прямым ссылкам с официальных сайтов, смотреть на рейтинг, количество загрузок и проверять отзывы. Часто иконка фальшивых приложений отличается от оригинала.




Уязвимости известных приложений

В официальных приложениях тоже появляются уязвимости. Например, весной 2019 года стало известно о проблеме в Вотсапе: после звонка злоумышленника в телефоне появлялся вирус. Причем пользователь мог даже не отвечать на звонок, а информация о пропущенном вызове удалялась из истории.

Защитите свои деньги!
Подпишитесь на нашу рассылку: расскажем, как уберечься от мошенников из интернета и реальной жизни

Если уязвимость Вотсапа использовали для атаки на небольшую группу людей, то ошибка в коде Фейсбука поставила под угрозу 50 миллионов аккаунтов. Осенью 2018 года злоумышленники похитили данные входа, и компании пришлось принудительно разлогинить пользователей со всех устройств.

Из недавних уязвимостей: мошенники могли использовать приложение «Зум» для подключения любого пользователя к видеозвонку без его ведома. Похожая ошибка ранее возникала в «Фэйстайм»: звонивший видел запись с фронтальной камеры другого абонента до того, как он возьмет трубку.

Как защититься. Следовать примеру Марка Цукерберга и заклеивать камеру. Скачивать последние версии приложений: после выявления бага разработчики обычно быстро выпускают обновление — можно успеть защитить данные.




Приложения-трояны

Иногда для взлома банковских сервисов используют приложения, которые не имеют отношения к банкам. Программы-трояны встраивают в приложения из популярных категорий: гороскопы, накрутка лайков, VPN или удаление однотипных фото. После установки такие приложения выдают ошибку и якобы пропадают с устройства. На деле исчезает только ярлык, а троян начинает искать уязвимости.

Вредоносное ПО создает окно авторизации якобы банковского приложения и крадет данные карты или пароль, а также перехватывает смс для прохождения двухфакторной аутентификации.

Приложения-трояны, которые выявили специалисты «Эсет» осенью 2018 года. Здесь гороскопы, приложения для экономии заряда и для улучшения производительности
Приложения-трояны, которые выявили специалисты «Эсет» осенью 2018 года. Здесь гороскопы, приложения для экономии заряда и для улучшения производительности

Как защититься. Скачивать приложения только из Гугл-плея и Эпстора. Обращать внимание на отзывы и использовать антивирусы.




Слежка приложений

После установки приложение просит доступ к геолокации, фотографиям, камере, микрофону, файлам и контактам. С одной стороны, каждый пункт объясним: вы не позвоните друзьям без микрофона и не выложите селфи без камеры, но невольно возникает чувство, что за вами кто-то следит.

Все разрешения, которые мы даем приложениям, можно использовать для других целей: с помощью геоданных, истории поиска, записей с микрофона и информации о пульсе можно настроить таргетированные рекламные кампании.

Еще один инструмент слежки: скрипт Glassbox, который записывает каждое движение пальца и введенные данные. Этот инструмент запрещен в Эпсторе, но вычислить злоумышленников можно только если покопаться в коде приложения. Такой скандал произошел с приложением «Бургер-кинг»: их заподозрили в записи всех данных с экранов пользователей, в том числе и информации банковских карт.

Сведения могут использоваться для улучшения работы приложения и настройки рекламы. А еще их могут продать злоумышленникам, которых больше интересуют деньги пользователя, а не идеально подобранный рекламный баннер.

Настройки доступа к микрофону в Ай-ос
Настройки доступа к микрофону в Ай-ос
Настройки рекламы в Ай-ос
Настройки рекламы в Ай-ос
1/2
Настройки доступа к микрофону в Ай-ос

Как защититься. Скачивать официальные приложения в официальных магазинах. Не давать доступ к функциям, которыми не планируете пользоваться. Отключить рекламный трекинг в настройках Айфона и проверить, к каким функциям приложение имеет доступ.





Остерегаться мошенников и беречь деньги легче, если знать вот эти правила:

  1. Верить нельзя никому.
  2. Ограбить может кто угодно.
  3. Даже банкомат!
Сталкивались с мошенническими приложениями? Рассказывайте:
Комментарии проходят модерацию по правилам журнала
Загрузка
0

Еще можно добавить в список сторонние магазины приложений. От самсунга, сяоми, и тд, их очень много.
И если разработчик легитимногоп риложения не успел залить в них свое приложение, то вполне можно сделать это за него, при этом добавив немного бэкдоров.

4
0
Герой Т—Ж

+3

15.08.19, 15:52

Дико бесит что стоит о чем то поговорить так сразу реклама прет на эту тему в соцсетях

4
Герой Т—Ж

+3

15.08.19, 21:11

Алексей, хорошая попытка, но нет

1
0

Спасибо любимым героям ТЖ - программистам. Без них наша жизнь была бы серой и скучной

2

Сообщество