О шпионском модуле SpinOk, который встраивается в самые разные игры и приложения для Android, рассказали специалисты компании «Доктор Веб». По их словам, модуль распространяется под видом маркетингового SDK, предлагающего пользователям мини-игры, различные задания и розыгрыши призов. SpinOk соединяется с C&C-сервером, а затем посылает на него технические данные о зараженном устройстве, включая информацию с сенсоров.
Благодаря этому шпионский модуль обходит среды эмуляторов и скрывает свою активность от специалистов в области информационной безопасности (ИБ). Модуль также расширяет возможности JavaScript-кода на рекламных веб-страницах, которые он загружает в WebView. Подобный код может получать список файлов в указанных директориях, а также проверять наличие заданного файла или директории на устройстве.
Также код способен получать файлы, видеть и изменять содержимое буфера обмена на устройствах. Всё это позволяет злоумышленникам получать доступ к конфиденциальной информации и файлам с устройства пользователя. Специалисты компании «Доктор Веб» выяснили, что троянский модуль и его модификации содержатся в 101 приложении, которые распространяются через каталог Google Play.
— Таким образом, сотни миллионов владельцев Android-устройств рискуют стать жертвами кибершпионажа, — отметили эксперты. — Компания «Доктор Веб» оповестила корпорацию Google о выявленной угрозе.
Как говорит в беседе с «Известиями» главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников, сегодня программное обеспечение (ПО) очень редко разрабатывается «с нуля» — фактически создается лишь его часть. Разработчики стараются использовать уже готовые модули, пакеты и фреймворки, а затем реализуют новый функционал на этих «кирпичиках».
— Такой подход позволяет существенно ускорить процесс разработки и максимально снизить себестоимость конечного продукта — это нормальная практика для всего мира, — объясняет эксперт. — В связи с этим есть специальные практики по безопасной разработке, например SDL — Security Development Lifecycle.
Согласно концепции SDL, разработчики должны проверять сторонние модули на наличие уязвимостей или недокументированных возможностей. Однако, по словам Дмитрия Овчинникова, в истории со шпионским модулем SpinOk этого сделано не было — и в итоге вредоносное ПО оказалось вшито в SDK (набор инструментов для разработки программного обеспечения в одном устанавливаемом пакете).
Как отмечает эксперт, подобных вариантов распространения «вредоносов» много, но обычно они быстро отсекаются на начальном этапе проектирования ПО. При этом очевидно, что использование сторонних модулей неизбежно чревато тем, что в конечный продукт будет вшит функционал, о котором не подозревает разработчик. Подобные моменты можно отследить, если провести тестирование готового продукта.
— Для пользователей шпионские модули опасны тем, что они могут следить за ними — делать записи экрана, фиксировать разговоры, копировать тексты, которые набирают владельцы гаджетов, а также воровать фото, данные и пароли от критически важных приложений («Госуслуги», банки и так далее), — объясняет руководитель направления аудитов и соответствия требованиям ИБ компании «Уральский центр систем безопасности» Евгений Баклушин.
Существует несколько признаков, которые могут указать на то, что приложение для Android следит за пользователем. По словам эксперта в сфере кибербезопасности компании «Вебмониторэкс» Екатерины Старостиной, пользователю стоит насторожиться, если приложение требует доступ к большому количеству личной информации, которая не связана с его функционалом.
— Другие «тревожные звонки» — приложение требует доступ к камере, микрофону, SMS-сообщениям, звонкам или контактам без объяснения причин, — рассказывает собеседница «Известий». — Будьте осторожны и в том случае, если приложение не имеет официального сайта, не указан его разработчик или же информация о них недоступна.
На содержание вредоносного ПО также указывает непонятный или неадекватный функционал, который не соответствует заявленному. Другие настораживающие признаки — приложение часто обновляется, но об изменениях не говорится в описании обновления, или же оно содержит скрытый функционал, который опять же не указан.
— Присмотритесь к приложению, если оно запрашивает доступ к другим приложениям, Сети, файлам и папкам на устройстве без объяснения причин или без необходимости, — советует Екатерина Старостина.
В свою очередь, Дмитрий Овчинников рекомендует не пренебрегать антивирусным ПО на мобильном устройстве, а также соблюдать несколько простых правил при установке приложений. Прежде всего не стоит устанавливать ПО из исходников — пользоваться нужно приложениями только из маркетплейса: это снизит вероятность поймать шпионский модуль или вирус.
Однако, даже если пользователь решил установить приложение из маркетплейса, нелишним будет почитать отзывы о нем как в самом сервисе, так и в Сети — они не должны быть негативными. Кроме того, не стоит устанавливать ПО от неизвестного разработчика с малым количеством скачиваний — лучше поискать альтернативу.
— Не теряйте бдительность и после установки приложения — на наличие шпиона на вашем гаджете укажут быстрая разрядка батареи, а также появление рекламных баннеров в тех местах, где их раньше не было, — отмечает Овчинников. — В целом желательно использовать минимальный набор ПО на телефоне и удалять всё то, чем вы не пользуетесь. Чем меньше приложений, тем меньше шансов на заражение смартфона.
Что касается пользователей устройств от Apple, им, по словам Дмитрия Овчинникова, повезло больше: дело в том, что «яблочный» AppStore лучше защищен от стороннего вмешательства, чем Google Play. Несмотря на это, факты заражения ПО для iOS всё равно были, хоть и в меньшем количестве, чем для Android.
— Несмотря на то что iOS считается более безопасной платформой, чем Android, у этой операционной системы также возможны проблемы с безопасностью приложений, — отмечает Екатерина Старостина. — Некоторые из них могут содержать вредоносный код или шпионские модули, которые могут красть личную информацию пользователей.
Кроме того, по словам собеседницы «Известий», в iOS возможна проблема с поддельными приложениями, которые могут содержать вирусы или другие вредоносные программы. Их разрабатывают третьи лица, которые не проходят проверку безопасности Apple. С такими приложениями могут столкнуться те, кто устанавливает на свои «яблочные» гаджеты так называемый джейлбрейк, то есть неоригинальную операционную систему.
— Качество и честность ее работы никто не может гарантировать, — отмечает Евгений Баклушин. — В то же время в ЕС уже принят закон, согласно которому Apple обязана предоставить возможность европейцам использовать сторонние приложения. Не исключено, что злоумышленники также активно будут применять данную возможность, поэтому пользователям «яблочной» продукции стоит помнить правила безопасного использования приложений.
Евгений Баклушин отмечает, что особенно актуальна эта рекомендация в свете того, что аналогичный законопроект об альтернативных магазинах приложений для устройств Apple готовят и в России. Так что вне зависимости от того, на базе какой ОС работает устройство, к приложениям, которые устанавливаются на него, нужно проявлять максимальное внимание.
Дмитрий Булгаков