Более миллиона пользователей Google Play скачали фальшивое приложение WhatsApp


    Фальшивое приложение слева, настоящее справа

    В каталоге Google Play вполне реально зарегистрировать вредоносное приложение и распространить его на огромную аудиторию пользователей Android-смартфонов. Это было известно и раньше, и вот теперь очередное подтверждение: более миллиона пользователей скачали из «защищённого» и «безопасного» каталога фальшивое приложение WhatsApp.

    Скачало бы и больше, но 3 ноября 2017 года фальшивку обнаружили бдительные пользователи Reddit. Разумеется, после этого приложение удалили из каталога.

    Приложение под названием Update WhatsApp Messenger само по себе запрашивало минимальные разрешения (только доступ к интернету), но фактически является рекламной обёрткой для настоящего приложения, то есть это зловред типа ad wrapper.

    На скриншоте показано, что программа прописывается в автозагрузку.

    На следующем скриншоте внизу — программный код, который, судя по всему, отвечает за скачивание настоящего клиента WhatsApp Android. Он тоже называется whatsapp.apk.



    Разработчики применили хитрый трюк, чтобы выдать себя за оригинальную компанию WhatsApp Inc. Как видно на следующем скриншоте, в конце названия компании WhatsApp Inc. добавлены два байта: 0xC2 0xA0, которые образуют невидимый пробел. Таким образом, со стороны выглядит, что разработчик реальный.



    После установки на смартфоне программа пытается скрыть следы своего существования, У неё нет зарегистрированного названия в системе и прозрачная пустая иконка. В списке приложений она выглядит следующим образом:



    Зловред не делает на телефоне ничего особо вредоносного, если не считать показа назойливой рекламы. Вот несколько скриншотов из работающей программы и экрана выбора сервера обновления: 1, 2, 3, 4. Судя по интерфейсу, разработчики не пользовались услугами дизайнера, а у них самих не самый совершенный вкус в части выбора цветов для оформления.

    Не каждый пользователь сразу поймёт, откуда на экране смартфона взялась реклама и какую программу нужно удалить. У приложения полноценные права в системе, если пользователь собственноручно установил его. Кроме того, этот ad wrapper скачал и установил настоящее приложение WhatsApp, так что не сразу очевидно, что сам остался работать в системе.

    Можно предположить, что аферисты заработали немалую сумму, подсадив такого «трояна» на телефоны более чем миллиона пользователей. Если им удалось заработать на показе баннеров хотя бы несколько долларов с каждого аппарата, то уже выходит несколько миллионов долларов.

    Распространить программу на миллион и более смартфонов Android очень сложно иным способом, кроме как через официальный каталог Google Play. Пользователи наивно полагают, что здесь они защищены от зловредов. Сама компания Google в описании антивируса Play Protect заявляет, что «безопасность всех приложений Android тщательно проверяется перед тем, как они появятся в Google Play Store. Мы проверяем каждого разработчика в Google Play и блокируем тех, кто нарушает наши правила. Так что ещё до скачивания приложения вы знаете, что оно было проверено и одобрено». Антивирус Play Protect ежедневно сканирует 50 млрд приложений для гарантии, что в новых версиях программ после обновления не появилось ничего подозрительного.

    Как видим, эта защита не очень хорошо справляется со своими задачами. По крайней мере, этот ad wrapper сумел избежать детектирования сканером Play Protect.

    В сентябре 2017 года специалисты Google рассказывали о системе ИИ, которая используется в антивирусе Play Protect. Для обучения нейросети используется в том числе телеметрия с пользовательских устройств: статистика по количеству установок и удалений программ, поведение программы и т.д. Но компания ещё тогда признавала, что ИИ пока не завершил процесс обучения, хотя прогресс налицо. Если весной 2017 года ему удавалось корректно определять всего 5% зловредов из тестовой выборке, то к сентябрю показатель увеличился до 55%. Разработчики говорили, что благодаря антивирусной активности Google за год снизилась доля пользователей Android, на смартфонах которых установлено то или иное вредоносное обеспечение. На начало года таких было 0,6%, а в сентябре — 0,25%. Таким образом, антивирусная безопасность на устройствах Android гораздо лучше, чем на десктопных ПК, считают специалисты Google.
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 56
    • +1
      мрак, куда смотрит гугл?!
      А в AppStore такое случается?
        • +2
          Проверил ради интереса App store, по примерам из статьи теперь все гораздо лучше.
          • +1
            Мне кажется, на смену примерам из статьи появилось много новых подобных приложений
        • +4

          Естественно. Лично видел фейковые Whatsapp и Viber. Отличить можно по разработчику и отзывам, но обычно на них никто не смотрит, слепо веря в безупречность аппстора

          • –6
            В AppStore меньше шансов такому пройти из-за ручного ревью всех приложений.
            • +1
              не уверен, что ревью там ручное: пол года назад делал релиз — заняло всего несколько часов с момента запроса ревью до момента публикации. Либо они не спят в дневное время по МСК, либо ручной проверки там небыло
              • 0
                На английской википедии цитируется следующее (за 2013 год):

                Applications for mobile apps for iOS are subject to approval by Apple by their App Review team.

                Before landing on the App Store, all apps are manually reviewed by Apple for flaws and malware.

                As part of this vetting exercise, Apple employees also run a special static analyzer on the app’s binary code to see whether it makes use of private functionality that’s normally off-limits to developers. This important step allows the company to determine, for example, if the code attempts to surreptitiously make phone calls, send SMS messages, or even access the contacts database without the user’s permission.


                Также спросил коллег, у которых есть друзья/знакомые iOS-разработчики, все подтвердили что ревью ручное и первое самое длинное.
              • 0
                Сколько же у них специалистов работает… или рабов?
                • +1
                  да-да, вот эта какаха прошла все ревью и соответствует неповторимому стайлгайду от эпл.
                  itunes.apple.com/ru/app/icpdas-mqtt/id1071998856?mt=8
              • 0
                Я правильно понял что при установке софта из Гугл Плэй надо обращать внимание на иконку
                Verified by Play Protect? Там где она есть значит приложение не зловредное?
                • +5

                  Или хорошо обошло проверку.

                  • 0

                    Нет, тем более что она появляется только после нажатия на кнопку "Install". Прежде всего надо полагаться на свою голову, на количество установок (у самых популярных приложений типа WhatsApp оно уже за миллиард, так что миллион установок — звоночек), отрицательные отзывы, разрешения, наличие приложений с похожими именами и иконками. И не забывать про бэкапы в облака!

                    • 0
                      Проверил на Play Market на Alcatel Pixi4, почему то ни до установки ни после установки Verified by Play Protect не появляется
                      • 0

                        Обновите Play Market например отсюда

                        • +2
                          Отличное предложение! Для того, чтобы ваш Play Market стал безопаснее — обновите его с варезного сайта!
                          • 0

                            Если Вы не отключали проверку подписи, то поставить Вы сможете только оригинал от Гугла, так что проблемы безопасности я не вижу.

                  • +5
                    Фейлы от Google уже перестали удивлять. И тупость пользователей тоже. А вот разработчики удивили, молодцы.
                    • +4
                      Фейл от Гугла — понятно. А где тупость пользователей? Куда им надо было смотреть?
                      • +13
                        Это же очевидно — домохозяйка Глафира должна проводить декомпиляцию и полный анализ кода перед установкой любого приложения.
                        • 0

                          Миллион скачиваний — не подозрительно?

                          • 0
                            Задним числом всегда удобно рассуждать.
                            Но вообще, миллион — это уже достаточно много что бы не подозревать. Мало кто помнит наизусть даже порядок скачивания любимых и не очень приложений.
                            • +1
                              Нет. Тем более что там диапазоны с неизвестным шагом указываются.
                          • +3

                            На надпись Update Whatsapp. Чего вдруг Update?


                            Да и вообще полезно бы заставить их смотреть на что-то, кроме похожей иконки.

                            • 0

                              У многих приложений есть неофициальные аналоги, у которых часто есть функции которых нет у оригинала. Кстати у geektimes тож. такое есть). Так что это проблема Гугла что пропустили зловреда

                              • +1
                                У этих аналогов написано что это неофициальные аналоги. Если приложение об этом явно не пишет, то это скам, даже если оно на самом деле работает.
                              • 0
                                Kingsoft Office теперь звучит как «Update for Old Versions», правда среди скриншотов сплошные «Не ставьте его вручную».
                              • –2
                                На название и количество установок. Если пользователь устанавливает приложение Update for WhatsApp с миллионом установок, когда оригинал называется Whatsapp и имеет за миллиард установок, то он ССЗБ. И Google тут ни при чем.
                            • +3
                              Что гугл плей, что апп стор — те еще помойки, в которых порой даже какое известное приложение найти не просто — сразу выскакивает с десяток фишинговых или бесполезных типа %appname% stickers
                              • 0

                                К сожалению, Google как и Apple, я уверен, прилагают массу усилий для борьбы с этим явлением, но проблема останется до тех пор пока существуют люди желающие быстрого заработка и имеющие для этого необходимые знания и умения.

                                • +1
                                  Достаточно ввести верификацию авторов с заключением договора и требовать платить первоначальный возвращаемый взнос за публикацию.
                                  Но они этого не сделают. Так что их масса усилий — это отлично, но не работает.
                                  • 0

                                    Чтобы стать разработчиком и так надо занести бабла в стор.

                                    • 0
                                      1) Мало
                                      2) Я говорил не только о бабле, но еще и о верификации разработчика
                                      • 0

                                        1) Отсечет часть разработчиков.
                                        2) Можно подумать, что сейчас это кого-то останавливает с сим-картами, например, в России? Зарегать на первого попавшегося алкоголика, студента, идиота и дело с концом

                              • 0

                                Whatsapp тестировали новую модель монетизации.

                                • +1

                                  Странно, что они так плохо отслеживают "прилипал". Казалось бы, сильно популярных программ не так много, и отслеживать из клоны по похожей иконке и похожести названия — совсем простая задача..

                                  • 0
                                    Знаю такие случаи, когда Apple отклоняли приложения из-за похожей иконки или названия. Но это касалось не известных приложений, а игр (т.е. если проблемы с копирайтом). Получается, что сам механизм есть, но только никому это не интересно.
                                  • 0
                                    Вопрос в другом, останется ли приложение на телефоне или гугл стор удаленно удалит на всех устройствах?
                                    • +1
                                      Как удалённо?
                                      Как удалит?
                                      Я не разрешаю!
                                      Что за отсебятина?
                                      • 0
                                        А вас никто не спрашивает. Установлены гуглсервисы? Значит это не ваш девайс, а гугла.
                                    • 0
                                      Простите за нубский вопрос.
                                      Но, не уже ли так просто подделать паблишера (компанию которая сделала приложение).
                                      Должны же быть какие нибудь подписи основанные на сертификатах или что то подобное.
                                      • +1
                                        Они не подделали. Они создали нового с невидимым пробелом в конце. Очень не очевидно даже опытному пользователю…
                                        • +2
                                          Зато должно быть вполне очевидно какому нибуть скрипту. А то всё пугают ИИ, а такие банальные вещи как подстановка спецсимволов для маскировки, до сих пор со свистом пролетают до пользователей. Не могут угадать всё заранее? Рендерим сайт и банальным распознованием текста с картинки видим — использование левым аккаунтом зарегистрированной торговой марки, ключевых слов и т.п…
                                          Во всем этом видится только волосатая «рука рынка», где гуглу просто недостаточно заинтересованности в безопасности сервиса.
                                          • +1

                                            Опытный пользователь вспомнит, как во времена Windows 95/98, можно было зайти через командную строку и поменять у папки имя, добавив туда какой-нибудь спецсимвол типа этого пробела через Альт+Код… Папку потом не удалить было из графического интерфейса))

                                            • +2
                                              Опытному пользователю очень не очевидно зачем в имени паблишера разрешать невидимые пробелы и другие спецсимволы.
                                            • +1
                                              Подозреваю что пробелов всяких разных ещё много на просторах Unicode, так что можно пробовать ещё.
                                            • +1
                                              Ну судя по высокому рейтингу приложения (4.2 балла на миллион установок), скорее всего большая часть установок — с бот-ферм, чтобы накрутить количество установок и рейтинг. На деле реальных пользователей там мало было скорее всего.
                                              • +1
                                                Странно что сами разработчики оригинальной программы не заметили клон. Уж кому как не им должно быть это известно. Такие крупные разработчики должны каждый день по несколько раз мониторить площадку.

                                                «50 млрд приложений» когда успели столько наделать?
                                                • 0

                                                  Придумал новый фейсбук? Сначала потренируйся — напиши и опубликуй еще один калькулятор.
                                                  Думаю примерно вот так написали.

                                                • 0
                                                  У меня вопрос:
                                                  На следующем скриншоте внизу — программный код, который, судя по всему, отвечает за скачивание настоящего клиента WhatsApp Android. Он тоже называется whatsapp.apk.

                                                  Как это выглядит на практике. Пользователя перекидывает на правильное приложение в маркете или же просто качается .apk и дальше идет установка из неизвестного источника? В любом случае это должно быть подозрительно, тем более что по-умолчанию установка приложений из неизвестных источников отключена.
                                                  • 0
                                                    Почему «неизвестных»? APK оригинальный, подписан ключом WhatsApp Inc.
                                                    • 0
                                                      «Неизвестный источник» в моём понимании — это любой .apk полученный не из маркета. По-умолчанию установка таких приложений отключена и включается отдельно из настроек безопасности. В любом случае запрос на подтверждение прав приложения должен был появиться повторно.
                                                  • 0

                                                    lol
                                                    А я как-то тетрис c названием "Tetris" выложил в альфа-доступ в гуглплее. Не прошло и нескольких часов, как его заблочили насмерть, дескать оно нарушает права ЕА. Так и висит теперь в консоли разработчика немым напоминанием.

                                                  • 0
                                                    Вообще интересно. Я много лет выкладываю несоответствующее правилам Google Play приложение. И когда количество скачек переваливает за ~500 тысяч, оно по всей видимости попадает на ручную модерацию, там бан. А тут аж до миллиона дожило.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.