Как приложения для смартфонов крадут деньги и личные данные

Если у вас есть смартфон, вы в группе риска.

Уязвимости находят даже в популярных приложениях, что уж говорить о малоизвестных и скачанных из неофициальных магазинов. Благодаря этим уязвимостям ваши личные данные и деньги могут попасть в руки разных нехороших ребят, которые обязательно используют полученное в своих целях: будут шантажировать приватными переписками и фото, следить за вашими передвижениями, выведут деньги с карт.

Вот что угрожает пользователям смартфонов.

Такие приложения изначально не то, чем кажутся. Они попадают на телефоны жертв под видом других сервисов и превращаются в бомбы замедленного действия.

Одни из них относительно безобидны: они не воруют данные, а только зарабатывают на показах рекламы. В начале 2019 года разработчики антивируса «Эсет» обнаружили 19 приложений, которые маскировались под «Гугл-карты». Они использовали официальное приложение Гугла, но создавали дополнительный слой, на котором крутили рекламу. Некоторые предлагали купить платную версию без рекламы.

Вариант похуже — когда приложения воруют данные или деньги. Для этого злоумышленники выпускают клоны программ, которые получают доступ к картам и счетам. Это могут быть банковские сервисы, онлайн-магазины или программы для оплаты штрафов и налогов. Мы уже писали про фальшивое приложение «Мой налог» для самозанятых, которое предлагало задекларировать доход и уплатить его с выгодной ставкой. Все бы хорошо, но был нюанс: деньги уходили не в налоговую, а в карман мошенников.

Как защититься. Скачивать приложения по прямым ссылкам с официальных сайтов, смотреть на рейтинг, количество загрузок и проверять отзывы. Часто иконка фальшивых приложений отличается от оригинала.

В официальных приложениях тоже появляются уязвимости. Например, весной 2019 года стало известно о проблеме в Вотсапе: после звонка злоумышленника в телефоне появлялся вирус. Причем пользователь мог даже не отвечать на звонок, а информация о пропущенном вызове удалялась из истории.

Если уязвимость Вотсапа использовали для атаки на небольшую группу людей, то ошибка в коде Фейсбука поставила под угрозу 50 миллионов аккаунтов. Осенью 2018 года злоумышленники похитили данные входа, и компании пришлось принудительно разлогинить пользователей со всех устройств.

Из недавних уязвимостей: мошенники могли использовать приложение «Зум» для подключения любого пользователя к видеозвонку без его ведома. Похожая ошибка ранее возникала в «Фэйстайм»: звонивший видел запись с фронтальной камеры другого абонента до того, как он возьмет трубку.

Как защититься. Следовать примеру Марка Цукерберга и заклеивать камеру. Скачивать последние версии приложений: после выявления бага разработчики обычно быстро выпускают обновление — можно успеть защитить данные.

Иногда для взлома банковских сервисов используют приложения, которые не имеют отношения к банкам. Программы-трояны встраивают в приложения из популярных категорий: гороскопы, накрутка лайков, VPN или удаление однотипных фото. После установки такие приложения выдают ошибку и якобы пропадают с устройства. На деле исчезает только ярлык, а троян начинает искать уязвимости.

Вредоносное ПО создает окно авторизации якобы банковского приложения и крадет данные карты или пароль, а также перехватывает смс для прохождения двухфакторной аутентификации.

Как защититься. Скачивать приложения только из Гугл-плея и Эпстора. Обращать внимание на отзывы и использовать антивирусы.

После установки приложение просит доступ к геолокации, фотографиям, камере, микрофону, файлам и контактам. С одной стороны, каждый пункт объясним: вы не позвоните друзьям без микрофона и не выложите селфи без камеры, но невольно возникает чувство, что за вами кто-то следит.

Все разрешения, которые мы даем приложениям, можно использовать для других целей: с помощью геоданных, истории поиска, записей с микрофона и информации о пульсе можно настроить таргетированные рекламные кампании.

Еще один инструмент слежки: скрипт Glassbox, который записывает каждое движение пальца и введенные данные. Этот инструмент запрещен в Эпсторе, но вычислить злоумышленников можно только если покопаться в коде приложения. Такой скандал произошел с приложением «Бургер-кинг»: их заподозрили в записи всех данных с экранов пользователей, в том числе и информации банковских карт.

Сведения могут использоваться для улучшения работы приложения и настройки рекламы. А еще их могут продать злоумышленникам, которых больше интересуют деньги пользователя, а не идеально подобранный рекламный баннер.

Как защититься. Скачивать официальные приложения в официальных магазинах. Не давать доступ к функциям, которыми не планируете пользоваться. Отключить рекламный трекинг в настройках Айфона и проверить, к каким функциям приложение имеет доступ.

Остерегаться мошенников и беречь деньги легче, если знать вот эти правила:

1. Верить нельзя никому.
2. Ограбить может кто угодно.
3. Даже банкомат!