Эксперты по кибербезопасности из компании Pradeo обнаружили в Google Play два вредоносных приложения для управления файлами и восстановления данных, которые были установлены суммарно более чем на полутора миллионах устройств. Приложения собирали чрезмерное количество данных, которые не нужны для предоставления заявленной функциональности. Оба приложения, имеющие названия File Recovery & Data Recovery (com.spot.music.filedate) и File Manager (com.file.box.master.gkd), принадлели одному и тому же издателю. Они могли скрытно работать в фоновом режиме и посылать украденные данные на удалённые серверы в Китае. На момент публикации данной новости приложения больше недоступны в Google Play, однако поговорить о механизме их действия всё же стоит, чтобы случайно не нарваться на нечто подобное в будущем. Приложения были обнаружены с помощью движка поведенческого анализа от компании Pradeo, специализирующейся на мобильных решениях для безопасности. В описании приложений на Google Play указано, что они не собирают никаких данных пользователей с устройства пользователей. Однако специалисты Pradeo выяснили, что это далеко не так. Приложения имели возможность пересылать злоумышленникам следующие данные:
список контактов из памяти устройства;
привязанные к устройству электронные почты и социальные сети;
фотографии, аудио и видео, к которым есть доступ из приложений;
местоположение пользователя в режиме реального времени
код страны мобильного оператора;
название мобильного оператора;
версия операционной системы;
бренд и модель устройства.
Хотя приложения могут иметь законную причину для сбора некоторых из перечисленных выше данных для обеспечения хорошей производительности и совместимости, большая часть собранных данных не нужна для управления или восстановления файлов, на что и заточены данные приложения. Что еще хуже, эти данные собираются тайно и без получения согласия пользователя. Pradeo также добавляет, что оба приложения скрывают свои значки на главном экране, чтобы затруднить их поиск и удаление. Они также могут злоупотреблять разрешениями, которые пользователь одобрил во время установки, чтобы перезапустить устройство и запуститься в фоновом режиме. Вероятно, что издатель использовал какие-то манипуляции в магазине Google, чтобы искусственно «раздуть» популярность приложений и заставить свою продукцию казаться более надёжной за счёт большого числа загрузок. Эта теория подтверждается тем фактом, что количество отзывов пользователей в Play Store слишком мало по сравнению с заявленной аудиторией. Как в очередной раз можно заметить, скачивание приложений из официального магазина не гарантирует безопасность. Пользователям Android рекомендуется всегда проверять отзывы пользователей перед установкой того или иного приложения, обращать внимание на запрашиваемые разрешения и доверять только программному обеспечению, опубликованному известными разработчиками.