Вирусы при скачивание модов

Обновлено: 25.04.2024

В официальном магазине Android вообще не бывает зловредов? Разбираемся, правда это или нет.

10 сентября 2019

Мы (и не только мы) постоянно советуем пользователям Android скачивать приложения в официальном магазине, чтобы не подцепить зловреда. Это важно, ведь на сторонних площадках, где программы никто не проверяет, часто размещают свои творения преступники. Однако что насчет самого Google Play? В нем вообще нет вирусов, и из него можно смело загружать что угодно? Давайте разберемся.

Как Google следит за безопасностью приложений для Android

Зловреду действительно не так-то просто попасть в Google Play. Перед публикацией модераторы обязательно проверяют приложения на соответствие обширному списку требований. Если они обнаружат нарушение, программу в магазин не пропустят.

Однако в Google Play поступает огромное количество приложений и обновлений, и уследить за всеми модераторам, к сожалению, не удается. Поэтому время от времени в Google Play все-таки проникают вредоносные приложения. Вот несколько самых ярких историй.

Рекламный модуль с трояном

Недавно наши исследователи обнаружили вредоносный код в приложении CamScanner для оцифровки документов. Оно не просто было доступно в Google Play — по данным магазина, его установили более 100 миллионов пользователей.

Как так получилось? До определенного момента это было нормальное приложение, которое честно выполняло заявленные функции. Его разработчики получали прибыль благодаря рекламе и платным возможностям — ничего необычного. Но в какой-то момент все изменилось, и в приложении появилась вредоносная добавка.

Зловред скрывался в одном из рекламных модулей. Это был троян-дроппер Necro.n, который устанавливал другой троян, основная задача которого — скачивать на устройство всякую другую гадость. Например, рекламные приложения или программы, оформляющие платные подписки в сторонних сервисах втайне от пользователя.

Наши эксперты сообщили о находке Google, и администраторы удалили приложение из магазина. Однако достаточно продолжительное время зараженная версия была доступна для загрузки.

Вороватый плеер

Когда очередную версию плеера выводили на чистую воду и удаляли из магазина, ее создатели тут же загружали новую, а то и не одну. В 2015 году из Google Play убрали по меньшей мере семь сборок зловредной программы. Через год — еще несколько. В 2017-м за два месяца наши аналитики насчитали в Google Play 85 подобных приложений, причем одно из них скачали более миллиона пользователей. Кроме того, в магазине появились поддельные версии Telegram за авторством тех же вирусописателей — эти приложения паролей не воровали, но добавляли жертву в интересующие злоумышленников группы и чаты.

Вредоносная армия в Google Play

Увы, 85 копий вредоносного приложения в ассортименте официального магазина Android — это не предел. В 2016 году специалисты нашли в Google Play 400 игр и других программ, укомплектованных трояном DressСode.

Справедливости ради стоит отметить, что модераторов Google Play сложно винить в недосмотре, поскольку обнаружить DressCode довольно сложно: код трояна настолько маленький, что теряется в коде приложения-носителя. Кроме того, на сторонних площадках зараженных программ оказалось значительно больше, чем в Google Play, — всего исследователи нашли около 3000 игр, скинов и приложений для чистки смартфонов со встроенным трояном DressCode. И все же 400 — это очень много.

Как не подцепить зловреда в Google Play

Как видите, то, что приложение попало в официальный магазин Android, еще не значит, что оно безопасно — иногда в магазин все-таки попадают зловреды. Чтобы не заразиться, стоит критически относиться к любым программам, в том числе из Google Play, и соблюдать несколько правил цифровой гигиены.

  • Не скачивайте на смартфон все подряд. Читайте отзывы пользователей о приложении — в них может быть ценная информация о его поведении. Поищите, что известно о разработчике: возможно, его творения уже удаляли из магазина или были какие-то еще сомнительные истории с его участием.
  • Возьмите за правило раз в несколько месяцев чистить свой Android-смартфон или планшет от ненужных программ. Чем меньше приложений на устройстве, тем проще их контролировать.
  • Используйте надежное защитное решение — оно защитит вас от угроз, которые пропустили модераторы Google Play.

Итого: правда или миф, что в Google Play не бывает опасных приложений?

Миф. Иногда в Google Play проникают зловреды. Риск подхватить заразу в официальном магазине Android значительно меньше, чем на сторонних площадках, но все-таки он есть.

Ведя свой блог бесплатных программ с 2011 года, я постоянно сталкиваюсь с программами, которые либо изначально созданы с вредоносным содержимым, либо это модифицированные установщики.

А когда меня просят (в комментариях, социальных сетях, знакомые), найти какую либо программу, то я в первую очередь предлагаю программы с моего софт блога. И зачастую, особенно незнакомые мне люди, просто боятся скачивать с моего сайта программы, опасаясь, что в установщиках может быть вирус.

Я не однократно писал, что на софт блоге, все программы проверяются антивирусами. Но даже если, что то и пропущено, то всегда есть ссылка на сайт разработчика, где можно скачать свежую и безопасную версию программы.

Есть, есть способ, скачивать программы с любых сайтов, не пользоваться антивирусами и быть точно уверенными — модифицированный файл установщика или нет.

Любой файл можно проверить на вирустотале . Хотя по опыту могу сказать, что даже установщики без вирусов, могут навредить вашему компьютеру!

Как удостовериться в подлинности программы

Я описываю лишь возможность, разумнее всего пользоваться антивирусом, и дополнительно проверять файлы на вирустотале!

Самый простой и доступный способ, проверить файл, это посмотреть его цифровую подпись. Как это сделать? Очень просто, показываю на примере программы от разработчика IObit.

На скриншоте выше ясно видно, что модифицированный файл имеет повреждённый сертификат, а в поле имя вставлено название сайта взломщика программы, когда же в оригинальном файле значится IObit CO., LTD, а также в сведениях о цифровой подписи сказано — Эта цифровая подпись действительна .

Поле может быть пустым, или иметь произвольный текст, главное, что отображается в сведениях. Ещё, может отсутствовать вкладка цифровые подписи, тогда проверить можно через вирустотал.

И напоследок, наличие цифровой подписи, не гарантирует безопасность программы , не лишним будет проверить антивирусом.

Пользуйтесь доверенными источниками — наш софт блог не распространяет вирусы!

Не поленитесь поставить палец вверх, и если нравится как я пишу, подписаться на канал, чтобы не пропускать новые статьи и изредка видео ролики.

Не поленитесь поставить палец вверх, и если нравится как я пишу, подписаться на канал, чтобы не пропускать новые статьи и изредка видео ролики.

Более 20 приложений в Google Play, обещавших классные моды для Minecraft, на деле оказались зловредами, мешающими пользоваться смартфоном.

Первая версия Minecraft вышла еще в далеком 2009 году, но игра до сих пор остается невероятно популярной. И это неудивительно, ведь она позволяет детям не только увлекательно проводить время, но и творить — например, проектировать парки и детские площадки. А некоторые продвинутые учителя даже используют ее на уроках.

К сожалению, из Minecraft, как и из любого успешного проекта, пытаются извлечь выгоду и злоумышленники. Начиная с июля этого года мы обнаружили в Google Play более 20 приложений, заявленных как каталоги модов для Minecraft, но на самом деле превращавшие смартфоны и планшеты в инструмент для показа рекламы чрезвычайно назойливым способом. Рассказываем, что это за приложения и как защитить устройства ваших детей от подобных угроз.

Фейковые моды для Minecraft в Google Play

На момент написания поста большую часть найденных нами недобросовестных приложений из Google Play уже удалили, доступны оставались только пять:

  • Zone Modding Minecraft
  • Textures for Minecraft ACPE
  • Seeded for Minecraft ACPE
  • Mods for Minecraft ACPE
  • Darcy Minecraft Mod

Самое скромное из них насчитывало более 500 установок, а самое популярное — более 1 000 000. Хотя приложения опубликованы разными издателями, у двух из них практически полностью — вплоть до опечаток — совпадают описания.

Издатели у приложений разные, а описания одинаковые

Издатели у приложений разные, а описания одинаковые

Отзывы о приложениях в магазине противоречивы. Средняя оценка обычно колеблется в районе троечки, но если присмотреться, то видно, что оценки очень полярные: основная масса ставит им либо пять звезд, либо одну. Такое распределение наводит на мысль, что программу продвигают боты: они ставят пятерки и пишут восторженные отзывы. А вот реальные пользователи оказываются недовольны и почти всегда ставят единицу. К сожалению, злоумышленники целятся в детей и подростков, а те могут и не обратить внимания на оценки и отзывы перед установкой приложения.

Приложениям ставят либо пятерки, либо единицы. Подозрительно!

Приложениям ставят либо пятерки, либо единицы. Подозрительно!

Мы сообщили Google о перечисленных выше вредоносных приложениях и на момент публикации этого поста они уже были удалены из Google Play. Однако следует помнить о двух моментах:

  • Удаление приложения из магазина не приводит к его автоматическому удалению с устройств пользователей, на которые оно уже было установлено.
  • Создатели зловреда могут попытаться вернуть его в Google Play, модифицировав приложения и публикуя их под другими аккаунтами разработчиков.

Фейковые моды на устройстве

Пользователи жалуются, что приложение не работает и

Спрятавшись от пользователя, фейковый каталог модов начинает показывать рекламу. Образец, который мы изучили, каждые две минуты открывал окно браузера с продвигаемой злоумышленниками страницей, очень сильно мешая нормально пользоваться смартфоном.

Помимо браузера приложения могут открывать Google Play и Facebook, а также запускать ролики на YouTube, если получат соответствующую команду с управляющего сервера. В любом случае пользоваться телефоном становится практически невозможно: на экран постоянно вылезает реклама.

Как удалить вредоносные каталоги модов для Minecraft

Самое неприятное в истории с фейковыми модами для Minecraft — то, что догадаться, почему все время открывается браузер (или Google Play, или Facebook, или YouTube), практически невозможно. Скорее всего, пользователь подумает, что проблема с самим браузером (или другим приложением, которое запускает фейковый каталог модов). Однако даже если попробовать браузер удалить и переустановить, это не спасет. Как и попытки что-то поменять в настройках.

Победить мешающее пользоваться смартфоном приложение можно, только избавившись от самого этого приложения. Но для этого нужно его вычислить, а пользователь, скорее всего, не вспомнит, что именно он устанавливал перед тем, как телефон начал странно себя вести. Если все-таки удастся опознать коварное приложение, нужно найти его в настройках устройства (Настройки —> Приложения и уведомления —> Показать все приложения) и удалить. По счастью, фейковые каталоги модов удаляются целиком и не пытаются вернуться на смартфон по собственной инициативе.

Если никак не получается понять, какое приложение виновато в том, что творится со смартфоном, или просто хочется очистить гаджет ребенка легко и быстро, установите надежное защитное решение и просканируйте им устройство. Например, Kaspersky Internet Security для Android распознает фейковые каталоги модов для Minecraft с вердиктом not-a-virus:HEUR:AdWare.AndroidOS.HiddenAd.os и предлагает удалить их, если они уже проникли на смартфон или планшет.

А чтобы ребенок не скачивал всякую гадость, научите его критически относиться к приложениям, даже если они в Google Play. В частности, обращать внимание на описания с ошибками и уж очень противоречивые оценки и комментарии: все это может свидетельствовать о недобросовестности разработчика и издателя. Ну и опять же — установите на смартфон мобильный антивирус.

Адвара, трояны и другие зловреды — это только часть причин, почему не стоит скачивать нелегальные игры.

23 августа 2021

Мы уже не раз писали про опасность пиратских игр, но пока не переводятся любители бесплатного сыра в виде нелицензионных версий, кряков и прочих аттракционов неслыханной щедрости, злоумышленники продолжают изобретать новые схемы. Расскажем, какие опасности угрожали геймерам за последний год.

Панорама геймерских кибератак

Наши эксперты решили разобраться, как в этом году киберпреступники зарабатывали на геймерах, которые экономят на играх и собственной безопасности. Вместе с желанной игрой (а то и вместо нее) на устройства попадали совершенно не запланированные приложения. Вот самые интересные примеры.

Рекламу заказывали?

Чаще всего под видом популярных игр жадным геймерам доставалось рекламное программное обеспечение — adware. Обычно оно не слишком опасно, но очень раздражает: с таким жильцом на компьютере или смартфоне вам придется постоянно закрывать баннеры, неожиданно всплывающие видеоролики и браузерные страницы, которые вы не открывали.

Криптомайнеры — нестареющая угроза

Хуже, если с пираткой к вам попадет криптомайнер. Любители халявных биткойнов и прочих криптомонет просекли, что геймеры с их мощными компьютерами и серьезными видеокартами — идеальная цель. Если добавить скрытый майнер к игре с высокими системными требованиями, жертва может долго не подозревать, что ее компьютер на самом деле трудится на благо злоумышленника. И чем дольше это продлится — тем больше койнов успеет добыть для своего хозяина скрытый майнер.

Swarez: опасность на первых страницах поисковиков

Примерно так распространяют загрузчик Swarez. Если пользователь пытается скачать, например, кряки к Minecraft, его подхватывает длинная цепочка переадресаций, которая заканчивается на странице с ZIP-архивом, внутри которого — еще один запароленный ZIP (настоящая матрешка!) и текстовый файл с ключом. После распаковки невезучий геймер получает на свое устройство Swarez, который в свою очередь загружает давно знакомый экспертам по кибербезопасности шпионский троян Taurus. Последний умеет снимать скриншоты, воровать криптокошельки, файлы с рабочего стола, пароли и прочие данные из браузеров и других приложений.

Ложный Minecraft охотится на пользователей Android

Также под видом Minecraft распространяют и зловред Hqwar. Чтобы обмануть бдительность жертвы, при запуске приложение сообщает, что установилось с ошибкой, и предлагает себя удалить. На самом деле удаляется только его значок, а сам зловред остается на устройстве в скрытном режиме и собирает логины и пароли к онлайн-банкам — так что вскоре жертву ждет неприятный сюрприз в виде пустых счетов.

Троян Vesub под видом Brawl Stars и PUBG

Еще один пример хитрого зловреда — это Vesub. Он прячется в пиратских версиях Brawl Stars и PUBG для Android.

После запуска зловред делает вид, что ооочень мееедленно загружается, а затем… ничего не происходит. Жертва видит, что игра не работает, и выходит из нее. Иконка пропадает с экрана, но сам троян, опять же, остается на устройстве и начинает вредоносную активность.

И, конечно же, фишинг

Вы уже поняли, что качать пиратки — себе дороже? Что же, это сильно повышает ваши шансы на безопасную игру. Однако на жадности можно сыграть и иначе: в последний год преступники не раз предлагали игры целыми пачками со скидкой в 99%, обещали горы игровой валюты бесплатно или за сущие копейки и зазывали поучаствовать в несуществующих турнирах.

Прикрываясь известными тайтлами (от FIFA 21 и Apex Legends до GTA Online и Pokemon Go), преступники рассчитывают получить адреса электронной почты, имена в соцсетях, логины и пароли жертв в связке с информацией об играх, в которые те играют. Даже без пароля такая информация ценится в даркнете — она повышает эффективность фишинга. А указав пароль на неподходящем сайте, жертва рискует остаться без аккаунта.

Читайте также: