Перейти к содержанию

Осторожно: поддельный Kaspersky Internet Security для Android | Блог Касперского


Рекомендуемые сообщения

Почти в каждом посте про Android мы обязательно говорим, что приложения следует устанавливать только из официальных источников. И вот нам попался пример, который отлично иллюстрирует, почему: через совсем неофициальные источники мошенники распространяют банковский троян под видом популярных медиаплееров, приложений для фитнеса и чтения, а также… Kaspersky Internet Security для Android. Разберем этот случай немного подробнее.

Почему опасно устанавливать приложения из неофициальных источников

Что, собственно, не так с неофициальными источниками? То, что никто не знает, можно ли им доверять. В официальных магазинах приложений — будь то Google Play или, например, Huawei AppGallery — сотрудники контролирующих их компаний проверяют каждое приложение, которое разработчики хотят там разместить, и отсеивают откровенно зловредные. Компании большие, дорожащие своей репутацией и безопасностью своих клиентов, — у них есть и ресурсы, и мотивация заботиться о том, чтобы у пользователей не заводились зловреды.

Иногда зловреды все-таки пролезают даже в Google Play, но все же шанс встретиться с ними там намного ниже, чем на форумах, торрентах и каких-нибудь независимых сайтах. На маленьких, но гордых сторонних площадках приложения, скорее всего, не проверяет никто — в первую очередь потому, что особенно-то и некому этим заниматься. В результате эти приложения вполне могут оказаться не тем, за что себя выдают, а вообще чем угодно, в том числе и трояном.

При этом просто скачать зловреда на Android обычно недостаточно для того, чтобы заразиться. Эта операционная система устроена так, что установить и запустить опасное приложение, если оно не полагается на какие-то суперуязвимости нулевого дня для получения прав суперпользователя, довольно сложно: вас на каждом шагу будут спрашивать, правда ли вы хотите его установить, действительно ли согласны дать все нужные разрешения, и так далее. Для того чтобы убедить вас это сделать, злоумышленники прибегают к социальной инженерии — и довольно успешно.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Ну, подделок там точно не было ещё.

 

Суть FDroid в том, что это сервис, который собирает приложения сам, из исходников этих приложений. То есть я, как разработчик, не загружаю сам туда файлы, как это делаю в GPlay. Вместо этого я создал под каждое своё приложение issue в гитлабе ФДроида, указал исходники, указал лицензию. Их бот скачал исходники, проверил их на рекламные трекеры, на используемые пермишены, на любые не свободные компоненты, в том числе на просто ссылки на что-то не свободное. И далее он сам собрал мои приложения и выложил их у себя.

 

Пользователи могут установить любую из версий моих приложений, а не только последнюю. То есть если я внесу изменения, которые им не понравится, они могут просто откатиться назад. И любой из них может взять исходники ровно той версии, которая им ещё нравилась (фдроид прицепляет срез исходников рядом с apk файлом, который ровно из них был создан) и продолжать развивать уже её.

 

В чём принципиальная разница с GPlay:

1. В FDroid у любого человека есть возможность собрать приложение самому. Если человек по любой причине предполагает,  что разработчик приложения мог внести опасные изменения, то этот любой человек всё равно будет сохранять полный контроль над оригинальным приложением. Он будет видеть все изменения в исходном коде

2. Разработчики, которые публикуются в FDroid, не могут заявлять одно, показывая исходники, но публиковать другое, скрыто добавляя плохое поведение, надеясь не некомпетенцию пользователей. Потому что, в отличие от GPlay, у разработчика вообще нет возможности публиковать скомпилированные apk файлы. Сборкой конечных приложений занимается только FDroid и на это нельзя повлиять

3. Все приложения, публикуемые в FDroid, сканируются на любые подозрительные вхождения. В отличие от GPlay, подозрительными вхождениями являются и рекламные модули, и просто не свободные сервисы. Такие приложения получают специальную метку "анти-фич". Вот их список: https://f-droid.org/ru/docs/Anti-Features/ Ничего из этого в GPlay не считается чем-то, на что следует обращать внимание пользователя. Здесь же этого нельзя не заметить

4. F-Droid отображает вообще все разрешения, которые использует приложение, в то время как GPlay часть скрывает. К примеру, F-Droid видит, что моё приложение запускается вместе с системой (это нужно, чтобы пересоздать запланированные задачи, больше ничего не происходит) https://f-droid.org/ru/packages/xyz.myachin.downloader/ Ничего подобного GPlay не показывает

5. Многие платные приложения здесь бесплатны. Просто потому что автор разрешил это. К примеру, здесь DavX5 можно взять бесплатно, если есть желание

 

Это для пользователя. Для разработчика же:

1. Нет нужды заливать собранные файлы. Меня на GPlay это подзаколебало. Иногда выбираю не тот файл, жду, пока очухается, а потом вижу ошибку и понимаю, что надо было другой указать. F-Droid же работает и жрать не просит. Всё, что отменя требуется — в git репозитории выставить тег релиза. Всё, больше ничего не надо. Бот придёт сам в течении недели, вытянет исходники по тегу и соберёт проект

2. Никто не запрещает мне встраивать ссылки на донаты. В GPlay, если я попытаюсь поставить кнопку "Поддержать проект", меня могут заблокировать. Гугл требует отдавать им % со всех платежей, потому я обязан встраивать их модуль покупок. А как только я такое сделаю, в их Маркете у меня появится метка "Внутренние покупки". Хотя покупок нет, я хочу, чтобы пожертвования были абсолютно добровольными и не влияли вообще ни на что. F-Droid не требует от меня отчислять им проценты и не запрещает хоть обвешаться кнопками донатов. Они разрешают безо всяких проблем вешать кнопки донатов даже на саму страницу приложения, никаких проблем. И поступают с собой также: они предлагают поддержать их проект ровно на тех же условиях. То есть свои собственные проекты они ставят с моими на один уровень

3. Мало того, что я не могу поставить кнопку доната в приложение в GPlay. Так ещё если я при создании проекта сказал, что он не имеет механизма покупок, то я больше не имею права добавлять этот механизм, даже если он гугловый. Я должен забросить этот проект и завести новый. В итоге сделал проще. В https://f-droid.org/ru/packages/xyz.myachin.saveto/ в настройках просто сделал переход на страницу проекта, где уже есть инфа про донат. Вроде Google пока правилами такой финт не запретил

Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Иногда соцсети становятся не столько в радость, сколько в тягость. Бесконтрольное зависание в них может перегружать нервную систему, рассеивать внимание и отвлекать от важных дел. Поэтому полезно время от времени — хотя бы ради профилактики — устраивать себе цифровой детокс. Сегодня расскажем, как это сделать за восемь простых шагов.
      Шаг 1. Проредите ленту
      Бывает, что бывший одноклассник или сокурсник вдруг увлекся санскритом и по 10 раз в день публикует высказывания древних мудрецов на деванагари. Или группа про ретроавтомобили, на которую вы давно подписаны, сменила владельца и стала постить одну рекламу. Не держитесь за старое, смело отписывайтесь!
      Шаг 2. Если не хочется удалять, заглушите
      Не хотите отписываться от группы друга или удалять профиль магазина, который сохранили «на потом»? Попробуйте «заглушить» их. Во многих соцсетях можно скрыть обновления от аккаунта, оставив его в подписках. За отношения можно не переживать: «замьюченный» друг даже не узнает о вашем решении.
       
      View the full article
    • От KL FC Bot
      Пять лет назад, в октябре 2016 года, наши решения начали сталкиваться с трояном под названием Trickbot (также известен как TrickLoader или Trickster). Тогда он встречался в основном у домашних пользователей и применялся для кражи учетных данных от сервисов онлайн-банкинга. Однако за последние годы создатели этого зловреда развили достаточно бурную деятельность и превратили банковский троян в многофункциональный модульный инструмент.
      Более того, теперь Trickbot пользуется популярностью у нескольких преступных группировок в качестве системы доставки сторонних зловредов в инфраструктуру компаний. Недавно в новостях появилась информация о том, что авторы трояна Trickbot активно сотрудничают с рядом новых партнеров, в результате чего зловред используют для доставки в корпоративные сети всевозможных дополнительных угроз, таких, например, как шифровальщик Conti.
      Между тем такое перепрофилирование может представлять дополнительную опасность для сотрудников центров мониторинга киберугроз. Некоторые защитные решения до сих пор распознают Trickbot по «первой специальности», как банковский троян. Так что при его обнаружении безопасники могут не обратить на него особого внимания, сочтя просто случайно попавшей в корпоративную сеть «бытовой» угрозой. В то время как на самом деле его присутствие в сети может быть признаком более серьезной кибератаки — попыткой внедрить шифровальщика или даже частью целевой кибершпионской операции.
      Нашим экспертам удалось скачать с одного из командных серверов трояна доступные модули и тщательно проанализировать их.
       
      View the full article
    • От KL FC Bot
      Нередко сотрудники корпоративных центров по мониторингу киберугроз и ИБ-отделов обращаются за экспертной помощью к специалистам «Лаборатории Касперского». Мы проанализировали наиболее частые причины таких запросов и создали специализированный сервис, который помогает заказчику задать вопрос непосредственно эксперту в нужной ему области.
      Почему может потребоваться помощь эксперта
      С каждым годом преступники находят все новые и новые способы достижения своих целей. Постоянно обнаруживаются новые уязвимости в программном обеспечении (от офисных приложений до серверов, VPN-шлюзов и самих ОС), которые тут же берутся на вооружение. Каждый день обнаруживаются сотни тысяч новых образцов вредоносного ПО, а самые разные организации, включая крупные корпорации и даже государственные структуры, становятся жертвами атак вымогателей. Столь же регулярно обнаруживаются и новые кампании сложных угроз и APT.
      В этих условиях важнейшую роль играет Threat Intelligence — только обладая своевременной информацией о методах злоумышленников, их тактиках и инструментах, можно выстроить адекватную систему защиты для организации. А в случае инцидентов — провести эффективное расследование, «выкинуть» из сети злоумышленников и локализовать первичный вектор атаки, предотвратив ее повторение.
      Но применение Threat Intelligence в конкретной организации требует наличия квалифицированного специалиста, который сможет грамотно использовать полученную от TI-провайдера информацию на практике. Это делает такого специалиста самым ценным активом при расследовании угроз. Однако наем, обучение и содержание аналитиков по кибербезопасности — это чрезвычайно дорого, особенно в условиях сегодняшнего дефицита на рынке труда. И позволить себе иметь команду экспертов должного уровня может далеко не каждая организация.
       
      View the full article
    • От KL FC Bot
      Некоторое время назад был опубликован подробный обзор безопасности пяти простейших мобильных телефонов, продающихся в рознице по цене от 600 до 1500 рублей. Их еще часто называют «звонилками» или «бабушкофонами» — потому что часто такие аппараты покупают для пожилых родственников, которые не хотят или не могут осваивать новую технику с сенсорным экраном. Также подобные телефоны используются как запасной мобильник «на всякий случай», а кто-то, возможно, считает, что такое устройство безопаснее, чем полноценный компьютер, которым является любой современный смартфон на базе Android.
      Собственно, последний аргумент в обзоре и опровергается: как выяснилось, из пяти исследованных телефонов четыре содержат скрытую функциональность. Два телефона передают данные при первом включении, сообщая кому-то персональную информацию покупателя телефона. Еще два аппарата не только «сообщают кому надо», но и могут по-тихому подписывать абонента на платный контент, общаясь через Интернет с командным сервером организаторов данной схемы.
      Зараженные «бабушкофоны»
      Автор исследования дает очень интересную информацию о методике анализа прошивок таких простых устройств. Эти технические вводные могут быть интересны тем, кто пожелает повторить исследование самостоятельно. Мы не будем на этом подробно останавливаться, а поговорим о результатах анализа.
      Итак, два из пяти исследованных телефонов при первом включении отправляют куда-то информацию о пользователе. Непонятно, кому именно передаются данные — производителю, дистрибьютеру, разработчику прошивки или еще кому-то. Для чего именно это используется, тоже не очень-то ясно. Но можно предположить, что такие данные могут оказаться полезными, например, для отслеживания продаж и контроля над распространением партий устройств в разных странах. Звучит не очень опасно, плюс можно привести аргумент, что абсолютно все смартфоны тоже отправляют какую-то телеметрию.
       
      View the full article
    • От KL FC Bot
      В последнем вторничном обновлении Microsoft Windows была закрыта в общей сложности сразу 71 уязвимость. Самая опасная из них — обнаруженная нашими технологиями CVE-2021-40449, уязвимость класса use-after-free в драйвере Win32k, которая уже эксплуатируется злоумышленниками. О ней мы писали во вторник.
      Однако кроме нее были закрыты еще три достаточно серьезные уязвимости, информация о которых уже попала в публичный доступ. В данный момент Microsoft называет вероятность их эксплуатации «Less likely». Но надо иметь в виду, что эти уязвимости уже активно обсуждаются в Интернете, к тому же существуют доказательства осуществимости атак — поэтому не исключено, что кто-то попробует воспользоваться какой-либо уязвимостью на практике.
      Уязвимость в ядре Microsoft Windows
      CVE-2021-41335, самая опасная дыра из трех, имеет рейтинг 7,8 по шкале CVSS. Она содержится в ядре Microsoft Windows и допускает повышение привилегий потенциально вредоносного процесса.
      Уязвимость для обхода правил WFP
      Вторая уязвимость, CVE-2021-41338, позволяет обойти ограничения среды Windows AppContainer, которая служит для защиты приложений и процессов. Эту возможность дает существование дефолтных правил Windows Filtering Platform, которые при совпадении определенных условий могут быть использованы для обхода ограничений. В результате это может привести к повышению привилегий.
      Уязвимость была обнаружена участниками проекта Google Project Zero, которые сообщили о ней в Microsoft в июле и предоставили компании 90-дневный срок на устранение, после чего опубликовали доказательство ее применения в открытом доступе. Уязвимость имеет рейтинг 5,5 по шкале CVSS.
       
      View the full article
×
×
  • Создать...