McAfee выявила масштабную Android-кампанию NoVoice: более 50 приложений в Google Play оказались замаскированы под обычные повседневные инструменты, а суммарно их скачали более 2,3 млн раз. В списке были игры, ”уборщики”, фоторедакторы и другой софт, который обычно не вызывает подозрений – именно поэтому такие истории регулярно всплывают снова и снова.
Опасность здесь не в количестве и даже не в маскировке, а в том, что вредоносная часть могла получить полный контроль над устройством. Для смартфонов на старых версиях Android это особенно неприятный сценарий: заражение в таких случаях может оказаться настолько стойким, что переживет даже сброс до заводских настроек. Google Play, как видно, не делает каталог автоматически безопасным – он лишь снижает порог доверия.
Что делало NoVoice опасной
По описанию McAfee, уязвимость, которую использовала кампания, затрагивала прежде всего старые версии Android. Более свежие сборки с обновленной защитой, по словам исследователей, не подвержены именно этому эксплойту, но это не означает полной безопасности: те же приложения могли применять и другие вредоносные механизмы. Удобно для злоумышленников, грустно для всех остальных.
- Более 50 приложений в Google Play
- Свыше 2,3 млн установок
- Маскировка под игры, утилиты и фоторедакторы
- На старых версиях Android возможна стойкая компрометация
Google Play удаляет такие приложения, но ненадолго
Судя по формулировкам исследователей, обнаруженные приложения уже недоступны в магазине. Но у этой истории есть знакомый хвост: если одна крупная волна проходит через Google Play, значит, за ней часто приходит следующая. Магазин успевает убрать уже пойманные образцы, а злоумышленники обычно быстро меняют упаковку и возвращаются с новым набором названий и иконок.
Как не попасться на похожую схему
Главная проблема таких кампаний в том, что они паразитируют на бытовой привычке ставить ”простой” софт без лишних вопросов. Проверка разработчика, отзывов и списка разрешений все еще скучная, но работает лучше, чем вера в то, что популярность в магазине автоматически означает безопасность. Особенно если приложение обещает слишком много для своей категории.
Следующие волны таких атак, вероятно, будут еще скучнее внешне и еще неприятнее внутри: та же бытовая маскировка, та же ставка на массовые установки, только с более аккуратной упаковкой. И это, увы, самый вероятный сценарий.