Десятки тысяч троянов маскируются под легитимные приложения
Безопасность Android
Количество троянов и фишинговых приложений на платформе Android продолжает расти, угрожая пользователям как в Google Play, так и на сторонних площадках.

Таковы результаты исследования компании RiskIQ, которое охватило 120 магазинов для мобильной ОС Google.

Основная часть вредоносных приложений размещена в официальном магазине и на отдельных интернет-сайтах. В этом году компания Google активно боролась с мобильными зловредами. Как следствие, в третьем квартале их доля сократилась до 4%, а тремя месяцами ранее эта цифра достигала 8%.

Total number of blacklisted apps in each store for all of 2017 through Q3

Несмотря на количественное отставание, процентная доля подозрительных приложений в сторонних магазинах значительно выше. Например, в AndroidAPKDescargar этот показатель составил около 30%. В III квартале количество зловредов на этой площадке выросло более чем в два раза, приблизившись к 21 тысяче. Это почти на десять тысяч больше, чем у магазина ApkFiles, который расположился на третьей строчке рейтинга. На 9game зараженными и вовсе оказались почти все приложения  — около 97%. Авторы исследования заключают, что многие площадки создаются специально для распространения зловредов, будь то в рамках вирусных кампаний или для отвлечения внимания от других, уже известных магазинов.

Чаще всего вредоносы маскируются под антивирусы, дейтинговые приложения, мессенджеры и социальные сети. В одном Google Play исследователи нашли несколько сотен приложений со словами WhatsApp и Instagram в названии — 497 и 566 соответственно. Эксперты ИБ уже сообщали об этой опасности в августе в связи с атакой ботнета WireX. Тогда зловред маскировался под медиаплееры, коллекции рингтонов и файловые менеджеры — всего около 300 наименований. Зараза попала на 130–160 тысяч устройств из более чем сотни стран, что позволило злоумышленникам вести DDoS-атаки мощностью до 21 тысячи запросов в секунду. Аналитики отмечали уникальность этого случая, поскольку ранее ботнеты использовались в основном для кликов по рекламным баннерам. Остановить WireX удалось только совместными усилиями нескольких крупных компаний, однако атаки продолжались вплоть до сентября. Эксперты предупреждают, что угрозу рано списывать со счетов, а новый ботнет может заявить о себе в любой момент.

Чтобы остановить зловреды, которые используют чужие бренды, мало одних усилий Google. Таков вывод авторов исследования. Компании должны сами отслеживать подобные случаи, в том числе с помощью специальных инструментов, которые анализируют программные «цифровые отпечатки» в интернете и магазинах приложений.