Шпионское ПО в магазине Google Play: удалено еще 500 вредоносных приложений

Похоже, особенно в случае с Google Play, участились случаи, когда официальные магазины приложений не могли обнаружить вредоносную активность. В моем собственном отчете я видел массовый всплеск шпионского ПО в магазине Google Play или других вредоносных приложений, получающих зеленый свет, получающих миллионы загрузок, только для того, чтобы затем исследователи безопасности предупредили Google о компрометации этих приложений. Компании становится все труднее следить за этими инцидентами, как доказывает последняя очистка приложений.

В отчете от 21 августа исследователи из Lookout подробно описали комплект для разработки рекламного программного обеспечения (SDK), который оставил более 500 приложений в Google Play открытыми для вредоносных плагинов. Плагины специально позволяли злоумышленникам шпионить за ничего не подозревающими жертвами, которые загружали приложения, которые в противном случае были бы действительно безопасными. SDK под названием Ignexin представлял собой сложную угрозу для идентификации, поскольку не все экземпляры его присутствия включали возможности вредоносного шпионажа.

Что отличает это заражение приложения Igexin от других случаев шпионского ПО в Google Play Store, так это отсутствие участия разработчиков приложения. В отличие от многих из этих массовых заражений, которые мы видели в прошлом, приложения с Igexin не имели связи ни при создании, ни при загрузке с SDK. Как говорится в отчете Lookout:

Инвазивная активность инициируется с сервера, контролируемого Igexin… многие разработчики приложений не знали о том, что личная информация может быть украдена с устройств их клиентов в результате внедрения рекламного SDK Igexin… Мало того, что функциональность не очевидна сразу, она может быть изменены в любое время на удаленном сервере.

Как упоминалось ранее в статье, получив предупреждение от Lookout, Google принял меры и удалил все приложения, содержащие Ignexin SDK. Нужно задаться вопросом, делает ли Google достаточно для мониторинга своих приложений после их первоначальной проверки. Хорошо предотвращать попадание вредоносных приложений в Play Store, но что делать с приложениями, которые не становятся вредоносными позже?

В статье, посвященной этому инциденту, портал Threatpost «Лаборатории Касперского» указал, что «Google заявил, что анализирует аспекты деятельности разработчика, отзывы клиентов, программный код и поведение приложений», что приводит к ситуации, когда «приложения и разработчики с высокой вероятностью плохого поведения помечаются красными флажками, и человеческий анализ может подтвердить наличие проблемы с безопасностью».

Все это хорошо, но, кажется, этого недостаточно. Что было бы с Google, если бы фирмы по безопасности не предупреждали их об этих проблемах? Люди доверяют Google Play Store, потому что это самое безопасное место для загрузки приложений для Android. Если Google не догонит этот новый стиль атаки, когда приложения заражаются после загрузки, вскоре они могут столкнуться с серьезным кризисом.