Перейти к содержанию

Осторожно: поддельный Kaspersky Internet Security для Android | Блог Касперского


Рекомендуемые сообщения

Почти в каждом посте про Android мы обязательно говорим, что приложения следует устанавливать только из официальных источников. И вот нам попался пример, который отлично иллюстрирует, почему: через совсем неофициальные источники мошенники распространяют банковский троян под видом популярных медиаплееров, приложений для фитнеса и чтения, а также… Kaspersky Internet Security для Android. Разберем этот случай немного подробнее.

Почему опасно устанавливать приложения из неофициальных источников

Что, собственно, не так с неофициальными источниками? То, что никто не знает, можно ли им доверять. В официальных магазинах приложений — будь то Google Play или, например, Huawei AppGallery — сотрудники контролирующих их компаний проверяют каждое приложение, которое разработчики хотят там разместить, и отсеивают откровенно зловредные. Компании большие, дорожащие своей репутацией и безопасностью своих клиентов, — у них есть и ресурсы, и мотивация заботиться о том, чтобы у пользователей не заводились зловреды.

Иногда зловреды все-таки пролезают даже в Google Play, но все же шанс встретиться с ними там намного ниже, чем на форумах, торрентах и каких-нибудь независимых сайтах. На маленьких, но гордых сторонних площадках приложения, скорее всего, не проверяет никто — в первую очередь потому, что особенно-то и некому этим заниматься. В результате эти приложения вполне могут оказаться не тем, за что себя выдают, а вообще чем угодно, в том числе и трояном.

При этом просто скачать зловреда на Android обычно недостаточно для того, чтобы заразиться. Эта операционная система устроена так, что установить и запустить опасное приложение, если оно не полагается на какие-то суперуязвимости нулевого дня для получения прав суперпользователя, довольно сложно: вас на каждом шагу будут спрашивать, правда ли вы хотите его установить, действительно ли согласны дать все нужные разрешения, и так далее. Для того чтобы убедить вас это сделать, злоумышленники прибегают к социальной инженерии — и довольно успешно.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Ну, подделок там точно не было ещё.

 

Суть FDroid в том, что это сервис, который собирает приложения сам, из исходников этих приложений. То есть я, как разработчик, не загружаю сам туда файлы, как это делаю в GPlay. Вместо этого я создал под каждое своё приложение issue в гитлабе ФДроида, указал исходники, указал лицензию. Их бот скачал исходники, проверил их на рекламные трекеры, на используемые пермишены, на любые не свободные компоненты, в том числе на просто ссылки на что-то не свободное. И далее он сам собрал мои приложения и выложил их у себя.

 

Пользователи могут установить любую из версий моих приложений, а не только последнюю. То есть если я внесу изменения, которые им не понравится, они могут просто откатиться назад. И любой из них может взять исходники ровно той версии, которая им ещё нравилась (фдроид прицепляет срез исходников рядом с apk файлом, который ровно из них был создан) и продолжать развивать уже её.

 

В чём принципиальная разница с GPlay:

1. В FDroid у любого человека есть возможность собрать приложение самому. Если человек по любой причине предполагает,  что разработчик приложения мог внести опасные изменения, то этот любой человек всё равно будет сохранять полный контроль над оригинальным приложением. Он будет видеть все изменения в исходном коде

2. Разработчики, которые публикуются в FDroid, не могут заявлять одно, показывая исходники, но публиковать другое, скрыто добавляя плохое поведение, надеясь не некомпетенцию пользователей. Потому что, в отличие от GPlay, у разработчика вообще нет возможности публиковать скомпилированные apk файлы. Сборкой конечных приложений занимается только FDroid и на это нельзя повлиять

3. Все приложения, публикуемые в FDroid, сканируются на любые подозрительные вхождения. В отличие от GPlay, подозрительными вхождениями являются и рекламные модули, и просто не свободные сервисы. Такие приложения получают специальную метку "анти-фич". Вот их список: https://f-droid.org/ru/docs/Anti-Features/ Ничего из этого в GPlay не считается чем-то, на что следует обращать внимание пользователя. Здесь же этого нельзя не заметить

4. F-Droid отображает вообще все разрешения, которые использует приложение, в то время как GPlay часть скрывает. К примеру, F-Droid видит, что моё приложение запускается вместе с системой (это нужно, чтобы пересоздать запланированные задачи, больше ничего не происходит) https://f-droid.org/ru/packages/xyz.myachin.downloader/ Ничего подобного GPlay не показывает

5. Многие платные приложения здесь бесплатны. Просто потому что автор разрешил это. К примеру, здесь DavX5 можно взять бесплатно, если есть желание

 

Это для пользователя. Для разработчика же:

1. Нет нужды заливать собранные файлы. Меня на GPlay это подзаколебало. Иногда выбираю не тот файл, жду, пока очухается, а потом вижу ошибку и понимаю, что надо было другой указать. F-Droid же работает и жрать не просит. Всё, что отменя требуется — в git репозитории выставить тег релиза. Всё, больше ничего не надо. Бот придёт сам в течении недели, вытянет исходники по тегу и соберёт проект

2. Никто не запрещает мне встраивать ссылки на донаты. В GPlay, если я попытаюсь поставить кнопку "Поддержать проект", меня могут заблокировать. Гугл требует отдавать им % со всех платежей, потому я обязан встраивать их модуль покупок. А как только я такое сделаю, в их Маркете у меня появится метка "Внутренние покупки". Хотя покупок нет, я хочу, чтобы пожертвования были абсолютно добровольными и не влияли вообще ни на что. F-Droid не требует от меня отчислять им проценты и не запрещает хоть обвешаться кнопками донатов. Они разрешают безо всяких проблем вешать кнопки донатов даже на саму страницу приложения, никаких проблем. И поступают с собой также: они предлагают поддержать их проект ровно на тех же условиях. То есть свои собственные проекты они ставят с моими на один уровень

3. Мало того, что я не могу поставить кнопку доната в приложение в GPlay. Так ещё если я при создании проекта сказал, что он не имеет механизма покупок, то я больше не имею права добавлять этот механизм, даже если он гугловый. Я должен забросить этот проект и завести новый. В итоге сделал проще. В https://f-droid.org/ru/packages/xyz.myachin.saveto/ в настройках просто сделал переход на страницу проекта, где уже есть инфа про донат. Вроде Google пока правилами такой финт не запретил

Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Некоторое время назад многие СМИ, пишущие на тему информационной безопасности, рассказывали о масштабных DDoS-атаках при помощи нового ботнета Mēris. Мощность его атак доходила до 22 миллионов запросов в секунду (Requests Per Second). Согласно исследованию компании Qrator изрядную часть трафика этого ботнета генерировали сетевые устройства компании MikroTik.
      В MikroTik проанализировали ситуацию и пришли к выводу, что новых уязвимостей в их роутерах нет, но чтобы убедиться, что ваш маршрутизатор не примкнул к ботнету, необходимо выполнить ряд рекомендаций.
      Почему устройства MikroTik участвуют в ботнете
      Несколько лет назад, в роутерах MikroTik действительно была обнаружена уязвимость — множество устройств было скомпрометировано через Winbox, инструмент для их настройки. Несмотря на то, что уязвимость была закрыта еще в 2018 году, обновились далеко не все.
      Кроме того, даже среди обновившихся не все последовали рекомендациям производителя по смене паролей. Если пароль не сменить, то даже после обновления прошивки до последней версии остается вероятность того, что злоумышленники зайдут на роутер со старым паролем и вновь начнут использовать его для преступной деятельности.
      Как следует из поста MikroTik — сейчас в ботнете участвуют те же устройства, что были скомпрометированы в 2018. Компания опубликовала признаки компрометации устройства и выдала рекомендации по их защите.
       
      View the full article
    • От KL FC Bot
      В новостях появились сообщения о достаточно опасной практике, применяемой в Microsoft Azure. Дело в том, что при создании виртуальной машины под управлением Linux и выборе некоторых сервисов Azure платформа автоматически устанавливает на машину агент управления Open Management Infrastructure (OMI), не ставя в известность пользователя. И все было бы не так плохо, если бы не два факта: во-первых, в агенте есть известные уязвимости, а во-вторых, механизма автоматического обновления этого агента в Azure не предусмотрено. Пока Microsoft не решит эту проблему на своей стороне, компаниям, использующим виртуальные Linux-машины в Azure, необходимо принимать меры самостоятельно.
      Какие уязвимости есть в Open Management Infrastructure и как они могут быть использованы для атаки
      В сентябре в ежемесячный «вторник патчей» Microsoft выпустила заплатки для четырех уязвимостей в агенте Open Management Infrastructure. Одна из них, CVE-2021-38647 допускает удаленное исполнение вредоносного кода (RCE) и является критической, а три остальных, CVE-2021-38648, CVE-2021-38645 и CVE-2021-38649, могут быть использованы для повышения привилегий (LPE) в многоступенчатых атаках, когда злоумышленники заранее проникают в сеть жертвы. Этим трем присвоен высокий рейтинг по шкале CVSS.
       
      View the full article
    • От KL FC Bot
      Для защиты аккаунтов очень важна двухфакторная аутентификация: если утек пароль — а утекают они регулярно, — второй фактор помешает злоумышленникам взломать аккаунт. Один из удобных способов двухфакторной аутентификации — при помощи специального приложения, генерирующего одноразовые коды, вроде Google Authenticator и его аналогов. Но рано или поздно у многих пользователей возникает вопрос: что делать, если телефон с приложением-аутентификатором потерян/разбит/забыт/украден? Рассказываем, какие есть варианты.
      Как восстановить аутентификатор, если смартфон с приложением недоступен
      Если у вас больше нет доступа к смартфону, на котором установлен аутентификатор, попробуйте вспомнить: возможно, вы все еще залогинены на одном из ваших устройств в тот аккаунт, к которому пытаетесь получить доступ? Дальнейшие действия зависят от ответа на этот вопрос.
      Восстанавливаем аутентификатор, если доступ к аккаунту есть на каком-то другом устройстве
      Если вы все еще залогинены на одном из ваших устройств в аккаунт, в который пытаетесь войти на другом, то исправить положение будет несложно. В этом случае попробуйте зайти в настройки и сбросить аутентификатор, то есть привязать его к новому приложению. Обычно соответствующий пункт можно найти где-нибудь на вкладке «Безопасность». Например, с аккаунтами Google и «Яндекс» такой вариант сработает, даже если вы залогинены всего в одном из приложений этих компаний — скажем, в YouTube или «Яндекс.Навигаторе».
      Иногда в тех же настройках можно посмотреть секретный ключ или QR-код аутентификатора — некоторые сервисы (но далеко не все) это позволяют. В таком случае вам останется просто ввести эти данные в приложение-аутентификатор на новом устройстве.
      К сожалению, этот способ срабатывает не всегда, даже если вы все еще залогинены в аккаунт на одном из устройств. Проблема в том, что не у всех сервисов совпадает набор настроек в веб-версии и в мобильном приложении — нужной опции там, где вы залогинены, может просто не быть.
       
      View the full article
    • От KL FC Bot
      Иногда бывает так, что вы пытаетесь открыть ссылку, но антивирус блокирует переход на сайт, выдав предупреждение об опасности. Один из вариантов решения этой проблемы — временно отключить защиту. Но делать этого не стоит — вы рискуете поставить под удар всю систему. Чаще всего антивирус не бьет тревогу просто так, а действительно старается уберечь вас от проблем.
      Это происходит очень редко, но иногда у защитных решений случаются ложные срабатывания — и вполне безобидный ресурс вызывает подозрение. Если вы уверены в надежности сайта, а защита не пускает, то эту проблему можно решить, не отключая защиту. Разберем, как это сделать на примере Kaspersky Internet Security и Kaspersky Security Cloud.
      Остановлен переход на недоверенный сайт — что делать
      Увидев сообщение «Остановлен переход на недоверенный сайт», прежде всего подумайте, когда и как вы планируете пользоваться соответствующей страницей. Если вы не планируете заходить на нее в будущем, быстрее всего — и безопаснее тоже — разрешить доступ к ней только на один раз.
      Это можно сделать прямо из браузера, даже не заходя в настройки. Антивирус не запомнит ваш выбор и в следующий раз опять предупредит вас — чтобы вы могли принять обоснованное решение.
      На странице с предупреждением нажмите Показать детали. Вы увидите причину, по которой антивирус считает веб-ресурс небезопасным, а также дату, когда он попал в список неблагонадежных. Еще раз взвесив все риски, кликните Перейти на сайт, и страница загрузится. Разовая разблокировка сайта
      Если же вы планируете часто заходить на сайт, лучше добавить его в список доверенных ресурсов.
       
      View the full article
    • От Deadman
      что такое клабы и как их накопить?

      Ура, мы отпраздновали маленький юбилей Kaspersky Club - целых 15 лет! 
       
      Приглашаем всех участников поездки выкладывать здесь фотографии и делиться благодарностями и впечатлениями! 😀
       
      Instagram от @Meravigliosaaa: https://www.instagram.com/p/CTKdDEeDtHK/
      Instagram от @7Glasses: https://www.instagram.com/p/CTUUGCDCcxD/
       
      Фото от:
       
      @dkhilobok: https://box.kaspersky.com/d/df3bce01a54b4fea9ff2/
      @Deadman: https://photos.app.goo.gl/oBYejp46KCJdBwxA7
      @kmscom: https://cloud.mail.ru/public/QSCG/xetMgcwdL
      @den: https://mfd.sk/AmLpA9h2RMEcmx759_ovnkGr
      @SaiTa: https://disk.yandex.by/d/fR12Qqor6DLtCg
      @kilo: https://disk.yandex.ru/d/7Fl1XZsipZ3nzw
      @7Glasses: https://drive.google.com/drive/folders/1zkEyAC6Vl5_rtb4SFm4mcSsrW34JbITD
      @oit: https://drive.google.com/file/d/1jkhpgptakjyjFHNXWp1i1koaSqIniUPZ/view
      @Demiad: https://1drv.ms/a/s!AtGaXkACab2VhuxnyPs5FfpSiyJZAg
      @Mrak: https://cloud.mail.ru/public/gPeU/CrpvzcyUA
       
      Фото из офиса Kaspersky от @dkhilobok: https://box.kaspersky.com/d/c902f3f9c7ba44558ec7/
       
      Общая ссылка на все предыдущие 11 источников от @Mrak: https://1drv.ms/f/s!AsfFGlR4zTsump9T1a9Vmq1eVaTbVQ (13 ГБ) (Предположительно будет доступна до середины декабря 2021)
       
      Ссылки на облако или архивы будут постепенно добавлены в шапку темы.
      Добавляйте также сюда ссылки на ваши посты в Instagram, Twitter, VK, Facebook и т. д.
       

×
×
  • Создать...