е таким образом приложения могут стать причиной перехвата пользовательских данных и передачи их на серверы злоумышленников (например, при запуске банковского приложения поверх может выводиться поддельный фишинговый интерфейс, копирующий легитимный). В значительной степени такая ситуация стала результатом монопольного положения корпорации Google на рынке мобильных устройств. Не все пользователи смартфонов хотят привязывать свои устройства к аккаунтам в Gmail. Между тем ОС Android начиная с 7-й версии позволяет устанавливать приложения из Google Play только в случае привязки устройства к аккаунту в Gmail. Такая политика Google явно не делает установку приложений из Google Play более безопасной, зато она позволяет корпорации получать больше персональных данных пользователей. Более того. Казалось бы, любой разработчик в состоянии выложить на свой официальный сайт APK-пакеты приложений и их контрольные суммы, и тогда любой более-менее квалифицированный пользователь мог бы устанавливать программы сам и под свою ответственность. Но нет. Судя по всему, этому препятствует Google, который хочет знать все о владельцах мобильных устройств. В результате некоторые пользователи на свой страх и риск устанавливают APK-пакеты из посторонних источников и при этом не имеют возможности убедиться в подлинности файлов, проверив контрольную сумму.
Но данные на Android-устройствах могут быть скомпрометированы не только из-за возможности установки приложений из посторонних источников. Даже публикуемые в официальном магазине Google Play приложения могут содержать вредоносный код. Часто это происходит из-за того, что код публикуемых программ проверяют менее тщательно, чем в компании Apple (в App Store вредоносные приложения появляются, но редко – как, например, в случае, отмеченном в 2015 г.[982]). Так, написав первоначально «добропорядочное» приложение и получив допуск в Google Play, разработчик вскоре может выпустить обновление, наделяющее программу вредоносными функциями. Кроме того, в арсенале приложений, доступных в официальном Google Play, постоянно появляются клоны официальных программ либо приложения, расширяющие их функциональность. Например, в 2015 г. приложение «Музыка „ВКонтакте“» позволяло пользователям не только слушать музыку из популярной соцсети, но и заодно воровало логины и пароли[983]. Выпущенные недобросовестными разработчиками приложения могут собирать излишнюю (не требующуюся для работы самого приложения) информацию о пользователе и анализировать. Например, приложение-фоторедактор может запросить разрешение на доступ к фотографиям, мгновенно проанализировать метаданные (место и дату/время съемки) всех имеющихся фотографий и выстроить маршруты перемещений пользователя за последние годы[984].
КЕЙС В 2019 г. исследователи изучили[985] свыше 88 000 приложений в официальном магазине Google Play и выяснили, что более 1300 программ различными способами обходят систему разрешений в Android, извлекая персональные данные пользователей, например, из метаданных фотографий, информации о Wi-Fi-соединениях и т. д. К примеру, фоторедактор Shutterfly извлекает координаты GPS из метаданных фотографий и передает их на собственный сервер apcmobile.thislife.com, даже если пользователь запретил приложению доступ к данным о местонахождении[986].
Пользователям обеих мобильных платформ угрожает утечка финансовых средств, связанная с выманиванием их персональных данных так называемыми fleeceware-приложениями. Такие программы вполне легитимны, но подобны скрытым вымогателям. В Google Play или App Store публикуется приложение с дорогостоящей подпиской, например 10 000 рублей в год, и предлагается бесплатный демонстрационный период, который продолжается, скажем, три дня. Пользователь, для которого высокая цена ассоциируется с качеством и уникальностью продукта, хочет бесплатно пользоваться программой в течение этого периода, скачивает приложение и для активации триала вводит реквизиты своей карты. Когда бесплатный период истекает, пользователь удаляет приложение, но с его счета начинают списываться деньги. Так происходит потому, что при активации бесплатного периода пользователь активировал и саму платную подписку (о чем, как обычно, было написано мелким шрифтом или сообщалось на странице, куда надо перейти по отдельной ссылке), а перед удалением приложения не отменил ее – по забывчивости или по незнанию. Для решения этой проблемы замеченные в fleeceware-поведении приложения удаляются из официальных магазинов (не особенно активно, так как вендоры мобильных операционных систем, по словам британской антивирусной компании Sophos, получают процент с абонентских платежей разработчикам fleeceware-приложений[987]), а владельцы iOS-устройств теперь оповещаются при удалении приложений с активной подпиской. Но тем не менее эта угроза сохраняется[988]. В 2019 г. было обнаружено не менее 50 Android-приложений (около 600 млн загрузок) и 32 iOS-приложения (3,5 млн загрузок) с fleeceware-функционалом[989]. Об отключении платных подписок поговорим в разделе о защите мобильных устройств в конце этой главы.
Вредоносные приложения
Основные вредоносные объекты мы уже рассматривали в главе, посвященной компьютерам. В этом разделе остановимся на зловредах, характерных для мобильных устройств:
■ Банковские трояны. Они особенно популярны среди злоумышленников и воруют данные банковских карт и приложений. Такие зловреды могут перехватывать SMS-сообщения с одноразовыми кодами или перекрывать интерфейс банковского приложения собственным фишинговым интерфейсом.
■ Блокировщики и шифровальщики. Эти зловреды, относящиеся к вымогательскому ПО, либо шифруют файлы, либо блокируют доступ к устройству, требуя за расшифровку или разблокировку некоторую сумму денег.
■ Вайперы. Они попросту стирают все файлы с устройства. Так как с финансовой стороны мошенникам, пытающимся заработать на пользователе, вайперы невыгодны, их используют в основном в целевых атаках в ходе корпоративной и политической борьбы.
Что делать, если смартфон заражен вирусом
Дальнейшие действия зависят от наличия резервной копии данных. Все действия, кроме установки антивирусного ПО, следует производить, отключив интернет и сотовую связь, чтобы вирус не мог списать деньги со счета.
Примечание. Если в устройстве используется съемная карта памяти, ее следует вытащить для сохранения/восстановления информации. Карту памяти можно подключить к компьютеру и провести антивирусное сканирование. Кроме того, некоторые устройства при полном сбросе к заводским настройкам удаляют данные не только из встроенной памяти, но и с подключенных SD-карт.
■ Если резервная копия данных есть и интерфейс операционной системы не заблокирован, можно попробовать удалить вирус, установив антивирусное ПО.
■ Если резервная копия есть, а интерфейс ОС заблокирован, можно попытаться найти информацию о вымогателе в интернете. Многие антивирусные компании публикуют на своих сайтах инструкции, где описаны действия, которые необходимо предпринять в случае заражения. Если нельзя удалить вирус без потери информации, следует сбросить все настройки телефона (соответствующий пункт меню может называться «Общий сброс», «Стереть все данные» и т. д.), а затем восстановить информацию из резервной копии (потребуется знание логина/пароля учетной записи Google/Apple и/или код блокировки экрана).
■ Если резервной копии нет и интерфейс ОС не заблокирован, первым делом следует сделать резервную копию (и после сброса настроек попытаться извлечь полезные данные из нее), а затем попробовать удалить вирус, установив антивирусное ПО. Кроме того, надо удалить незнакомые и подозрительные приложения, а также программы и обновления, установленные незадолго до появления признаков заражения (если есть возможность отката системы).
■ Если резервной копии нет и интерфейс заблокирован, нужно подключить устройство к компьютеру и попробовать сделать резервную копию.
Затем можно просканировать подключенное устройство антивирусной программой. Часто настольные версии антивирусов имеют в базе данных сигнатуры мобильных вирусов и способны справиться с заражением. Кроме того, может помочь поиск инструкций по борьбе против заражения конкретным вирусом.
Если это не помогает, можно попробовать перезагрузить смартфон: есть вероятность, что вымогатель-блокировщик не загрузится.
Также может помочь безопасный режим. В этом режиме на смартфоне загружаются только системные приложения. Способ загрузки в безопасном режиме различен для устройств разных производителей, например на смартфонах Samsung после перезагрузки при появлении надписи «Samsung» нужно нажать и удерживать кнопку «Громкость вниз», пока устройство не включится полностью[990]. Для устройств других производителей см. инструкции в прилагаемых руководствах и на официальных сайтах. В этом режиме можно удалить потенциально вредоносные приложения.
Если на устройстве активирован root-доступ или джейлбрейк, можно попробовать перепрошить девайс. Это под силу только опытным пользователям, так как в случае неправильных действий существует риск не только потерять данные, но и превратить само устройство в «кирпич».
Если ничего не помогло, следует сбросить настройки до заводских. Данные будут утеряны, но само устройство можно будет использовать дальше (потребуется знание логина/пароля учетной записи Google/Apple)