Специалисты по анализу вредоносных программ для мобильных устройств предупреждают об огромном количестве приложений, доступных в Google Play Store, которые собирают конфиденциальные данные пользователей.
Приложения собирали эти данные с помощью стороннего SDK, который позволяет перехватывать содержимое буфера обмена, данные GPS, адреса электронной почты, номера телефонов и даже MAC-адрес модемного маршрутизатора пользователя и SSID сети.
Эти конфиденциальные данные могут привести к значительным рискам для конфиденциальности пользователей в случае неправильного использования или утечки из-за плохой безопасности сервера/базы данных.
Кроме того, содержимое буфера обмена потенциально может включать очень чувствительную информацию, в том числе ключи для восстановления криптокошельков, пароли или номера кредитных карт, которые не должны храниться в сторонних базах данных.
По данным AppCensus, обнаружившей использование этого SDK, собранные данные собираются и передаются SDK на домен "mobile.measurelib.com", который, как оказалось, принадлежит аналитической фирме из Панамы под названием Measurement Systems.
Эта фирма продвигает SDK для сбора данных под названием Coelib как возможность монетизации приложений, рекламируя его как способ получения дохода.
Исследователи AppCensus говорят, что многие строки в библиотеке SDK обфусцированы с помощью шифрования AES, а затем закодированы в base64.
"И вообще, что это за модель угроз, которая требует шифрования ваших строк?! По крайней мере, радует, что они делают только 10 раундов выведения ключа, потому что этот возмутительный блок кода выполняется каждый раз, когда строка используется этой библиотекой (задерживая работу приложения и расходуя время работы батареи)", - объясняет AppCensus в своем отчете.
Приложения, использующие этот SDK
Наиболее популярными и загружаемыми приложениями, использующими этот SDK для отправки конфиденциальных данных пользователя, являются следующие:
- Speed Camera Radar - 10 миллионов установок (номер телефона, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора).
- Al-Moazin Lite - 10 миллионов установок (номер телефона, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
- WiFi Mouse - 10 миллионов установок (MAC-адрес маршрутизатора)
- QR & Barcode Scanner - 5 миллионов установок (номер телефона, адрес электронной почты, IMEI, GPS-данные, SSID маршрутизатора, MAC-адрес маршрутизатора)
- Qibla Compass Ramadan 2022 - 5 миллионов установок (данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
- Простой виджет погоды и часов - 1 миллион установок (номер телефона, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
- Handcent Next SMS-Text w/MSS - 1 миллион установок (адрес электронной почты, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
- Smart Kit 360 - 1 миллион установок (адрес электронной почты, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
- Al Quran mp3 - 50 Reciters & Translation Audio - 1 миллион установок (данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
- Полный Коран MP3 - 50+ языков и аудио перевод - 1 миллион установок (GPS данные, SSID маршрутизатора, MAC адрес маршрутизатора)
- Audiosdroid Audio Studio DAW - 1 миллион установок (номер телефона, IMEI, данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора).
Важно отметить, что обо всех этих приложениях было сообщено Google 20 октября 2021 года, после чего они были исследованы и удалены из Play Store.
Однако их издателям удалось вновь разместить их в Play Store после удаления SDK для сбора данных и предоставления новых, обновленных версий на рассмотрение Google.
Однако если пользователи установили приложения ранее, SDK все еще будет работать на их смартфонах, поэтому в этом случае рекомендуется удалить и установить их заново. Обновление приложения не удаляет шпионское ПО из устройства.
К сожалению, поскольку библиотеки сбора данных тихо работают в фоновом режиме, собирая данные, пользователям сложно защититься от них. Поэтому рекомендуется устанавливать приложения только от надежных разработчиков, которые имеют долгую историю создания приложений с высокими отзывами.
Еще одна хорошая практика - держать количество приложений, установленных на вашем устройстве, на минимально необходимом уровне и следить за тем, чтобы запрашиваемые разрешения не были слишком широкими.
"Мы действительно хотим извиниться перед нашими пользователями за этот инцидент. Это не было нашей виной. Как и несколько других разработчиков, мы были введены в заблуждение."
- разработчик Simple weather & Clock Widget
Так же разработчики приложения признали, что SDK, принадлежащий Measurement systems, использовал некоторые уязвимости Android, действуя "непонятным и сомнительным с точки зрения конфиденциальности образом".
Вот только выпустили обновление и прекратили свои отношения с недобросовестным партнером они после требований компании Google, удалившей их ПО из своего магазина приложений.
Мы заботимся о полной прозрачности и безопасности, мы создаем приложения и мы же их используем. Этот инцидент очень плохо повлиял на нашу репутацию, мы приложим все усилия, чтобы подобная ситуация никогда не повторилась.
