Еще несколько лет назад в магазине приложений Google Play было полно вирусов и троянов. Потому что модерация была намного хуже, чем в App Store для iPhone.
Но со временем это изменилось, и сейчас уровень проверки приложений стали намного строже. Откровенных вредных приложений нет совсем, а те что попадают в магазин случайно, быстро удаляются.
Но мошенники не сидят сложа руки, они пытаются найти все более изощренные способы навредить пользователям для собственного обогащения.
Так например исследователи из компании ThreatFactor, специализирующиеся на кибербезопасности, обнаружили в Google Play приложение сканера QR кода с вирусом. Этот вирус направлен на кражу данных клиентов популярных банков, например «Сбербанк», «Почта Банк», «ВТБ», «ОТП-банк» или «Тинькофф».
Приложение называлось Free QR Сode Scanner. На данный момент оно уже благополучно удалено из Google Play и ни кому не навредит. Автор у приложения был указан QrBarBode LDC, что в принципе ни о чем не говорит. А вот что сбивало с толку это очень хороший рейтинг и огромное количество скачиваний. В магазине приложений у сканера было больше 50 000 загрузок.
Как же этот вредитель попал в Google Play минуя модерацию?
Оказалась есть лазейка, с помощью которой издатель приложения может загружать обновление минуя модерацию.
Как это обычно работает в Google Play и App Strore:
Издатель отправляет приложение в магазин и его проверяют модераторы; Если все в порядке, то приложение появляется в списке для загрузок. Если издатель отправляет обновление, то оно так же проходит модерацию.
Но приложение может подгружать какие-то данные минуя модерацию. В таком случае появляется предупреждение для пользователя, с вопросом о разрешении данного действия для конкретного приложения. И тут происходил обман.
Сканер сообщал о выходе обновления для приложения, и просил разрешения подгружать данные минуя магазин приложений. Ничего не подозревающие пользователи соглашались, тем самым устанавливая к себе на смартфон вирус крадущей банковские данные.
Причем вирус загружался не всем подряд, а только потенциальным жертвам. Программа оценивала модель устройства, идентификатор, установленные приложения, и только потом решала о загрузке вредоносного кода.
