Миллионы пользователей Android под угрозой
Более 60 миллионов владельцев Android-устройств стали жертвами опасных вредоносных программ, замаскированных под безобидные приложения. Эти программы, распространявшиеся через Google Play, использовали хитроумные методы для обхода защиты системы. Исследователи из IAS Threat Lab первыми обнаружили 180 вредоносных приложений, а затем специалисты Bitdefender расширили исследование, выявив в общей сложности 331 зараженное приложение. Некоторые из них оставались доступными для скачивания вплоть до марта 2025 года.
Как работает вредоносное ПО?
Программы использовали уязвимость в системе Android 13, связанную с "Content Provider" — встроенным механизмом взаимодействия приложений с операционной системой. Благодаря этому зловредные программы могли активироваться автоматически сразу после установки, даже без запуска пользователем.
После установки такие приложения исчезали с главного экрана, что значительно затрудняло их обнаружение. Злоумышленники отключали стандартный Launcher, создающий иконку, а затем активировали скрытый код. В некоторых случаях приложения маскировались под сервис "Google Voice", затрудняя их удаление.
Приложения, распространяющие вредоносное ПО
Вот некоторые из обнаруженных программ, скачанных миллионы раз:
- AquaTracker – 1 000 000+ установок
- ClickSave Downloader – 1 000 000+ установок
- Scan Hawk – 1 000 000+ установок
- Water Time Tracker – 1 000 000+ установок
- Health Tracker Pro – 500 000+ установок
- QR Master Scanner – 500 000+ установок
- Wallpaper HD Collection – 500 000+ установок
- Expense Manager Plus – 100 000+ установок
- Battery Optimizer – 100 000+ установок
Наибольшую опасность представляли приложения, скрытно отображающие полноэкранную рекламу, не запрашивая соответствующего разрешения. Кроме того, они создавали виртуальный экран, поверх которого появлялись поддельные формы входа в аккаунты. Это позволяло злоумышленникам красть пароли и данные банковских карт.
Почему вредоносные программы не были обнаружены раньше?
Эти приложения зашифровывали данные, скрывая свою активность от антивирусных сканеров. Код автоматически менял поведение, если запускался в тестовой среде, чтобы затруднить анализ.
Некоторые из этих программ появились еще в третьем квартале 2024 года, но стали вредоносными только после обновлений. Последние зараженные приложения были загружены в Play Market в начале марта 2025 года — всего за неделю до публикации исследования.
Как защитить себя?
Так как злоумышленники продолжают находить способы обхода защитных механизмов, пользователям следует соблюдать осторожность. Рекомендуемые меры безопасности:
Регулярно проверять список установленных приложений и удалять неизвестные.
Обращать внимание на приложения, которые после установки исчезают из списка программ.
Не вводить пароли и платежные данные в подозрительных полноэкранных формах.
Загружать приложения только от проверенных разработчиков с хорошей репутацией и отзывами.
Хотя Google активно борется с вредоносными программами, кампания "Vapor" показала, что даже современные системы защиты можно обойти. Поэтому основная защита остается в руках самих пользователей.