Компания Google удалила из Google Play телефонное приложение — копию WhatsApp — и приостановила действие учетной записи разработчика, но только после того, как распространяющее рекламу приложение скачали более миллиона раз.

Зловред под названием Update WhatsApp Messenger в выходные разоблачили несколько пользователей Reddit, которые рассказали, что программа для показа рекламы подключалась к Интернету, чтобы скачивать дополнительные установочные пакеты Android.

«Я тоже установил это приложение и декомпилировал его. Само приложение имеет минимальные разрешения (доступ к Интернету) и представляет собой программу-оболочку с рекламной нагрузкой, которая включает код для скачивания второго установочного пакета для Android, также с именем whatsapp.apk, — пишет пользователь Reddit под ником Dextersgenius. — Приложение не имеет имени и использует пустой значок, пытаясь таким образом спрятаться от пользователя».

Компания Google подтвердила устранение приложения и заморозку учетной записи разработчика за нарушение правил размещения программ.

Несмотря на известные успехи Google в перехвате вредоносных и нежелательных мобильных приложений на Google Play и удалении их с устройств пользователей, на этот раз вышла промашка. Как и в других кампаниях по распространению спама и программ, показывающих рекламу, разработчик использовал скрытый символ Unicode, чтобы представить свое приложение как надежное.

Пользователь Reddit под ником rookie_e отметил, что в данных этого приложения после имени имелся дополнительный пробел: «WhatsApp Inc. «. На этом месте находился символ Unicode, который выглядел как пробел с шестнадцатеричным кодом C2A0 и позволил приложению просочиться через средства поиска вредоносных программ, которые Google использует для защиты своего магазина.

Приложения для Android, которые предоставляются для размещения в Google Play, перед публикацией проходят проверку на вредоносный код и поведение, которое позволило бы классифицировать их как потенциально нежелательные. Также Google принимает меры для обнаружения вредоносных приложений на более ранних этапах процесса, одновременно упрощая процедуру для разработчиков надежного ПО.

В мае компания внедрила Play Protect — новый компонент безопасности, который проверяет контент, попадающий на устройства под управлением Android. Например, скачанные ранее приложения могут проходить регулярную проверку на вредоносное поведение. Это позволяет обнаруживать разработчиков, распространяющих через Google Play безобидные приложения, скачивающие вредоносные компоненты. Также это помогает защититься от приложений, которые загружаются из сторонних магазинов и не проверяются средствами поиска вредоносных программ компании Google. В мае представители Google объявили, что Play Protect позволит сканировать и проверять до 50 миллиардов приложений ежедневно.

Тем временем, Unicode остается очевидным надежным стратегическим вариантом для нечистоплотных разработчиков, пытающихся размещать подобные приложения и даже расширения в Google Play и Chrome Store соответственно.

Три недели назад Google удалила вредоносное расширение для Chrome, размещенное под именем Ad Block Plus и скачанное более 38 тысяч раз. Популярный Twitter-аккаунт Swift on Security рассказал о проблеме с этим и двумя другими приложениями, одно из которых заявляло якобы о 10 млн скачиваний. Разработчик использовал в имени расширения кириллические символы Unicode, что также позволило вредоносным подключаемым модулям обойти защитные фильтры Google.

Также злоумышленники использовали символы Unicode для подделки доменных имен, создавая возможности для масштабных фишинговых атак. В апреле Google исправила уязвимости в Chrome, которые делали возможным злоупотребление такого типа. Метод под названием Punycode обманным путем заставляет браузер направлять пользователей на сайты, которые кажутся надежными. Содержимое таких сайтов способно убедить жертву ввести свои учетные или финансовые данные.

Категории: Вредоносные программы, Главное