Как защититься от мошенников в магазинах мобильных приложений: советы экспертов
SecureNews от 17 ноября 2017 г.
Вредоносные программы стали неотъемлемой частью магазинов мобильных приложений. В новом материале мы вместе с экспертами попытаемся разобраться, какое именно нежелательное ПО проникает в магазины приложений, а также каким образом разработчики и пользователи могут противостоять этим угрозам.
Вредоносные программы каких видов обычно проникают в магазины мобильных приложений?
Андрей Заикин, руководитель направления информационной безопасности КРОК:
«Назову 5 основных типов вредоносных программ для мобильных устройств, наиболее распространенных на сегодняшний день. Первый тип – вредоносное ПО, предназначенное для проведения атак на мобильные приложения онлайн-банков. Если всего пару лет назад атаки в большинстве случаев были направлены на то, чтобы инфицировать браузер и подменить страницу интернет-банкинга на фишинговую, то сейчас акцент постепенно смещается на мобильные устройства. Это происходит по вполне понятной причине: пользователи все чаще используют мобильные приложения, а контроль над мобильным устройством позволяет осуществить не только кражу идентификационных данных пользователя, но и одноразовые пароли. Второй тип – программы, которые позволяют создавать бот-сети с целью проведения DDoS-атак. Третий тип – шпионское ПО, с помощью которого злоумышленник получает возможность удаленно включить микрофон и камеру, осуществить доступ к SMS-переписке пользователя, сообщениям в различных мессенджерах, а также получить полный контроль над мобильным устройством для дальнейшего развития атаки. Четвертый тип – программы, позволяющие показывать пользователям рекламу для того, чтобы через прокликивание получать деньги. Пятый тип – использование вирусов-вымогателей (Ransomware). С их помощью блокируются данные пользователя на мобильном устройстве, изменяется PIN-код, после чего на экране выводится сообщение с требованием выкупа».
Евгений Акимов, директор по развитию кибербезопасности департамента информационной безопасности группы компаний Softline:
«Самые распространенные вредоносные программы через магазины мобильных приложений проникают чаще всего двумя способами. Первый способ. Условно легитимно получают избыточные разрешения, например, доступ к базе контактов и геопозицинированию, за счет того, что большинство пользователей при установке приложений не вчитываются в длинный список разрешаемых действий.
Как правило, эти данные собираются, чтобы точнее представлять привычки, посещаемые места, поисковые запросы владельца мобильного устройства. Часто эта информация перепродается разработчиками программы-шпиона для использования как в маркетинговых целях, так для организации спам-рассылок.
Реже находящаяся на телефоне информация используется напрямую самим разработчиком. Например, всем контактам владельца устройства может быть прислана реклама.
Хуже, когда пользователь разрешает устанавливаемой программе отправлять и принимать SMS или совершать звонки. Были случаи, когда мобильные приложения отсылали SMS на платные номера, что приводило к прямой потере денег с абонентского счета оператора сотовой связи. Справедливости ради надо отметить, что при раскрытии подобного поведения мобильного ПО оно оперативно удалялось из магазина приложений.
Второй способ: загружать вредоносный код через рекламные баннеры, которых очень много в бесплатных версиях многих приложений. Пользователь, кликнув на него, переходит на зараженный сайт и получает вирус на свое устройство (особенно если там не установлен антивирус, хоть его наличие, увы, не панацея). Конечно, это лишь условно можно назвать заражением через магазин приложений, но пользователям от этого вряд ли легче. Если вредонос был загружен и установился на устройстве, его действия могут быть любыми – от вымогательства криптолокерами до кражи денег в системе мобильного банкинга».
Игорь Гавриш, руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция»:
«На текущий момент преимущественно распространяется вредоносное ПО типа adware – программы для показа рекламы, перенаправленные на рекламные сайты, и сбора информации о вас, которые действуют без вашего согласия. Также встречаются (правда, не так часто) и более опасные вредоносные программы (Chrysaor, Geinimi, Svpeng, Godless или Triada), поймав которые можно лишиться денег на счете или самого гаджета. Большинство вредоносов попадают на гаджет как перепакованные в обычные приложения, которые размещаются в основном на сторонних интернет-ресурсах, но зачастую попадают и в магазины мобильных приложений (это зависит от процедур безопасности, реализованных в магазинах размещения)».
Михаил Кондрашин, технический директор, Trend Micro в России и СНГ:
«В этом году особенно интенсивно набирают популярность программы-вымогатели. По возможностям они активно догоняют своих Windows-собратьев. Если ранние образцы подобных программ только блокировали доступ к устройству, то, например, такие вредоносные программы, как ANDROIDOS_SLOCKER.OPST, шифруют данные пользователя, не оставляя шанса на восстановление данных без наличия резервной копии или выплаты выкупа. При этом самые защищенные магазины приложений – это те, которые предлагают разработчики самой мобильной платформы. Наша статистика показывает, что в сторонних магазинах количество угроз существенно выше. Причина очевидна – контроль со стороны администраторов существенно слабее».
Как владельцы магазинов и разработчики приложений могут противостоять злоумышленникам?
Андрей Заикин:
«Если говорить о самых распространенных магазинах – App Store и Google Play, то у Apple, благодаря закрытой ОС, все приложения, которые попадают в магазин, проходят тщательный отбор и контроль на наличие вредоносного ПО. Конечно, и у Apple иногда случаются сбои. Чаще всего они связаны с действиями шпионских программ. Что касается Android, ситуация здесь хуже. Более 90% вредоносных программ, о которых я говорил выше, приходятся как раз на эту операционную систему. Также можно упомянуть локальные магазины, которые появляются в тот момент, когда компания разворачивает у себя MDM-системы. MDM-системы значительно повышают уровень защиты мобильных устройств, разрешая установку новых приложений только из доверенных источников. Однако универсального рецепта по противостоянию злоумышленникам нет. Если говорить о разработчиках приложений, то можно посоветовать тщательно анализировать исходный код приложения, особенно, если вы используете готовые библиотеки. На сегодняшний день на рынке представлены специализированные решения по анализу кода приложений, в том числе мобильных».
Евгений Акимов:
«Владельцы магазинов могут более тщательно проверять размещаемые приложения, в том числе логику запрашиваемых разрешений: были случаи, когда приложение-«фонарик» отслеживало позиционирование устройства, а программа-навигатор самостоятельно совершала звонки.
Советы для пользователей устройств:
- установите мощный антивирус на мобильное устройство;
- при установке софта тщательно проверяйте компанию-разработчика, отдавая предпочтение крупным и известным – они дорожат своей репутацией;
- при установке софта проверяйте выдаваемые разрешения исходя из здравого смысла: вряд ли приложению для сканирования штрих-кодов нужны персональные данные владельца, а программе, распознающей звучащую песню и исполнителя, тоже вряд ли нужна возможность удаления всех файлов на устройстве.
Кроме магазинов и пользователей свою лепту в безопасность могут внести и мобильные операторы, отслеживая или даже запрещая (по желанию пользователя) рассылку платных SMS или совершение платных звонков. Банковские организации могут также выделять подозрительные транзакции в интернет-банкинге и приостанавливать до подтверждения их легитимности».
Игорь Гавриш:
«Владельцы магазинов прежде всего должны защищаться, выстраивая процессы взаимодействия с разработчиками, которые размещают приложения, чтобы избежать возможности самим разработчикам размещать вредоносное ПО, а в случае наступления такого события применять санкции. Для этого, конечно же, необходимо обеспечить защищенное взаимодействие и строгие процедуры аутентификации, чтобы избежать подмены. Кроме того, никто не отменял технические и организационные меры по защите инфраструктуры и программного обеспечения, которые можно реализовать самостоятельно или описать в SLA с владельцем площадки размещения. Самим же разработчикам тоже необходимо принимать меры по безопасности. Минимальный набор рекомендаций должен быть дан со стороны магазина, но им не стоит ограничиваться. Всегда необходимо проводить оценку рисков и защищаться, исходя из них. Сам процесс разработки должен быть организован безопасно, процессы безопасной разработки хорошо описаны в международных стандартах и не являются секретом. Таким образом, вероятность внедрения вредоносного кода минимизируется на всех этапах жизненного цикла приложения».
Рустэм Хайретдинов, генеральный директор компании «Атак Киллер»:
«Владельцы магазинов обычно осуществляют премодерацию приложений перед выставлением их на витрину, но зачастую магазин больше беспокоится о соблюдении правил безопасной разработки (то есть проверяется, что модерируемая программа не нарушает стабильности операционной системы и других приложений) и ненарушении авторских прав. Владельцы популярных приложений обычно сами отслеживают появление программ, маскирующихся под них и связываются с магазинами, чтобы удалить вредоносные программы. Так, большинство крупных банков сегодня непрерывно мониторят появление в магазинах одноименных приложений или приложений, использующих их логотипы, но написанных с целью мошеннической установки на смартфоны доверчивых пользователей».
Что нужно знать пользователю, чтобы не стать жертвой вредоносного ПО?
Евгений Акимов:
«Магазины мобильных приложений – не единственное место их распространения. Хоть оно и не вполне безопасное, но это намного лучше, чем все остальные источники.
Поэтому:
- Запретите на устройстве установку приложений из неизвестных источников.
- Поставьте и регулярно обновляйте антивирус, используйте его функциональность по максимуму.
- Не подтверждайте устанавливаемым (особенно бесплатным) программам избыточные на ваш взгляд разрешения – лучше отказаться в пользу более «скромных» в этом смысле приложений.
- Выбирайте программы именитых компаний-разработчиков».
Игорь Гавриш:
«На 100% пользователю не стоит скачивать и устанавливать приложения со сторонних сайтов, но если очень хочется, то следует хотя бы проверять его подлинность и репутацию. Даже если пользователь собирается скачать приложение с официального магазина, необходимо проверить на наличие аналогов со схожими признаками (лого, функционал, описание) и скачать наиболее популярное. После скачивания очень рекомендуется посмотреть список доступа приложения и отключить те пункты, в которых оно не нуждается».
Александр Черняк, CEO, Seven Winds Studio:
«Если у вас Apple iOS, то шансы получить какую-либо вредоносную программу сильно уменьшаются. Если у вас Google Android – запретить установку приложений не из Google Play, внимательно читать описание приложения в магазине: смотреть издателя приложения и другие проекты этого издателя, отзывы о приложении, историю обновлений. Не рекомендуется устанавливать малоизвестные приложения, различные непроверенные сервисы (например, ускорения работы телефона) и антивирусы».
Рустэм Хайретдинов:
«Устанавливать приложения лучше всего из официальных магазинов приложений, а еще лучше – по ссылке на магазин с официального сайта компании. Надо внимательно изучать те разрешения на доступ к ресурсам, где может находится конфиденциальная информация (фото/видео, контакты, мессенджеры, почта, соцсети) и начинать беспокоиться, если, скажем, фильтр для фотографий просит доступа к контактам и соцсетям – лучше отказаться от установки такого «любопытного» приложения. Финансовые операции со счетом, где хранится много денег, лучше совершать не с того устройства, на которое приходят подтверждающие SMS-сообщения или push-уведомления: например, транзакции совершать с компьютера, а подтверждение получать на смартфон – в этом случае злоумышленникам будет невозможно перехватить транзакцию и добавить к ней другую. Лучше вообще не пользоваться мобильными приложениями для управления счетами, на которых размещены личные деньги в количестве большем, чем вы готовы потерять без особых сожалений».
