Всего неделю назад мы писали о произошедшей массовой атаке на Google Play — недавно экспертами и разработчиками известных антивирусов была идентифицирована целая партия приложений, содержавших вредоносный код. К сожалению, на тот момент вредоносные приложения были скачаны более 10 миллионов раз.
Сегодня в обществе царит стереотип, что устройства Apple и магазин приложений App Store являются более безопасными по сравнению с конкурентами — такими, как Android или Windows.
Действительно, Apple имеет больший контроль над программным обеспечением, которое она позволяет размещать в App Store — это делает процесс распространения вредоносного софта более сложным, чем на просторах того же Google Play. Однако, как показали последние несколько недель исследований и статистические данные, порой даже респектабельные приложения для устройств Apple могут оказаться скрытыми вредоносными программами. Да, с iOS действительно не всё так гладко, как принято считать.
«Коварная семёрка»
Кроме того, совсем недавно исследователь безопасности Алекс Клебер обнаружил семь вредоносных приложений, размещённых в Mac App Store. Согласно спискам App Store, все семь приложений, по-видимому, загружены на платформу отдельными издателями, но Клебер обнаружил, что на самом деле они были созданы одной и той же группой разработчиков, базирующейся в Китае.
Итак, в список идентифицированных вредоносных программ входят:
- PDF Reader for Adobe PDF Files (Sunnet Technology Inc.)
- Word Writer Pro (Netozo Limited)
- Screen Recorder (Safeharbor Technology L Ltd.)
- Webcam Expert (Wildfire Technology Inc.)
- Streaming Browser Video Player (Boulevard Technology Ltd.)
- PDF Editor for Adobe Files (Polarnet Limited)
- PDF Reader (Xu Lu, по-видимому, связанная с Sunnet Technology Inc.)
И хотя сотрудники Apple среагировали довольно оперативно, удалив эти приложения из macOS App Store, они не смогут быть удалены с устройств, на которые уже были загружены. Если какие-либо из этих приложений уже установлены на вашем Mac, удалите их как можно скорее!
Примечательно, что все эти приложения вошли в топ-100 самых загружаемых приложений в рейтинге App Store в США, некоторые из них даже вошли в топ-10, а PDF Reader for Adobe PDF Files (Sunnet Technology Inc.) и вовсе заняла 1-е место в категории «Образование».
Таким образом, IT-сообщество неожиданно убедилось в том, что появление вредоносного ПО в App Store от Apple — хоть и сложный процесс, но явно осуществимый. Разработчики указанных выше вредоносных приложений представили «безопасные» версии приложений, которые скрывали опасный код в своей зашифрованной базе данных. Как только приложение проходило сертификацию и становилось доступно в App Store, оно «трансформировалось» и активировало скрытое вредоносное ПО. Известно, что многие вредоносные приложения для Android используют аналогичную стратегию для обхода проверок безопасности Google Play.
Как мы и сказали, Apple удалила все семь приложений после раскрытия Клебера, но их существование наглядно показывает, насколько легко вредоносное ПО может появиться где угодно, даже на таких безопасных операционных системах, как iOS.
Киберпреступники идут на новые ухищрения
На прошлой неделе портал MacRumors сообщил о высокорейтинговом вредоносном приложении для управления рекламой в *Facebook, которое крало данные пользователей, захватывало их учётные записи, а также использовало рекламный бюджет владельца аккаунта для продвижения других вредоносных приложений. Apple также удалила неназванное мошенническое приложение из iOS App Store, но на тот момент оно уже было загружено более 250 000 раз.
Представители Apple заявляют, что зачистили все подобные вредоносные приложения, появившиеся в App Store. Тем не менее, если приложения, разработанные киберпреступниками, могут так высоко подняться в рейтинге, вполне вероятно, что прямо сейчас в App Store скрываются и другие вредоносные программы. Ни одна платформа не является полностью безопасной — пусть данное происшествие послужит предупреждением против загрузки неизвестных приложений.
Разработчики вредоносных приложений идут на многое, чтобы казаться «белыми и пушистыми». Некоторые приложения частично имитируют или даже откровенно копируют интерфейс и функции другого программного обеспечения. Обычно подобный вредоносный софт выполняет те же самые задачи, параллельно с этим скрывая мошенничество или крайне агрессивную кражу личных данных. Хотя и не всегда, но обычно подобная вредоносная «начинка» требует у пользователя разрешений с высокими привилегиями, которые даже близко не связаны с функционалом из описания приложения.
Многие хакеры даже идут на создание поддельных компаний, создают фейковые веб-сайты и формируют политики конфиденциальности (это является требованием для отправки приложения в Apple). Также существуют примеры того, как мошеннические приложения используют поддельные политики конфиденциальности в App Store, но их немного легче обнаружить, если присмотреться повнимательнее (увы, рядовые пользователи никогда не станут заниматься этим).
Многие из подобных фейковых программ появляются на случайных доменах, не связанных с оригинальным приложением или его издателем, на самом деле имеющим хорошую репутацию в сообществе. Например, все семь приложений, найденных Клебером, использовали один и тот же домен GoDaddy — это один из признаков, позволивших идентифицировать всю партию хакерского софта. Аналогичным образом, приложения часто имеют подозрительно высокие рейтинги и восторженные отзывы пользователей — поэтому важно присматриваться внимательнее, а не просто читать топовые комментарии. Мы живём в такое время, когда всё реально «накрутить» — не стоит об этом забывать.
Как бы то ни было, даже если вы проявляете повышенную бдительность, лучший способ обезопасить себя и свои устройства — загружать только хорошо известные приложения от надёжных издателей, делая это исключительно в официальных магазинах приложений.
* Компания Meta, а также принадлежащие ей проекты Facebook и Instagram, признаны экстремистскими организациями и запрещены на территории Российской Федерации.