Анализ угроз

Вредоносные приложения для iOS и Android распространяются через TikTok

Jakub Vávra, 23 сентября 2020

Мы обнаружили несколько вредоносных программ в Google Play Store и Apple App Store, скачанные 2,4 млн раз, которые продвигаются через TikTok и Instagram.

Наши специалисты обнаружили семь мошеннических приложений с вредоносным рекламным ПО, которые были доступны в Google Play Store и Apple App Store.

В общей сложности, эти приложения были загружены более 2 400 000 раз и принесли своим владельцам более 500 000 долларов (около 38 миллионов рублей). Приложения имели низкий рейтинг: в диапазоне от 1,3 – 3,0. 

Открытие произошло благодаря подростку, следившим за нашим чешским проектом Avast Be Safe Online, который рассказывает детям, как оставаться в безопасности в сети. Девушка обратила внимание на аккаунт TikTok, который продвигал подозрительное приложение и сообщила об этом нам.

Программы выдавали себя за развлекательные приложения, такие как игры («Шокируй друзей»), приложения для обоев и музыкальные плееры. При этом они постоянно показывали рекламу или взимали с пользователей от 2 до 10 долларов США (от 150 до 750 рублей). Некоторые из приложений оказались троянами семейства HiddenAds. Они маскируются под безопасные и полезные приложения, но деле просто заваливают пользователя навязчивой рекламой. Часто они скрывают свой значок приложения, чтобы владельцам смартфонов было сложно определить источник показа рекламы.

Мы благодарим девушку, которая сообщила нам о подозрительном профиле TikTok, ее осведомленность и ответственность — это хороший пример сознательности, которую мы все должны проявлять, чтобы сделать онлайн более безопасным. Обнаруженные нами приложения — мошеннические. Они нарушают политики Google и Apple, так как либо вводят в заблуждение, описывая функции приложений, либо отображают навязчивую рекламу вне приложения и скрывают оригинальный значок программы вскоре после его установки.

Нас особенно беспокоит то, что приложения продвигаются на платформах социальных сетей, которые популярны среди детей младшего возраста. Такие юные пользователи могут не распознать мошенничество и попасться на уловки злоумышленников.

Продвижение в TikTok

Большинство приложений продвигаются в TikTok как минимум тремя аккаунтами. У одного из них более 300 тысяч подписчиков. Помимо профилей TikTok, исследователи Avast также обнаружили аккаунт в Instagram, который рекламирует одно из приложений — у него более 5 тысяч подписчиков. Ссылки в этих профилях ведут к приложениям для iOS или Android, в зависимости от того устройства, с которого переходишь по ссылке.

Предположительно, эти приложения (и для iOS, и для Android) разрабатывают одни и те же люди. Avast сообщил о них в Apple и Google, а также сообщил о подозрительных профилях в TikTok и Instagram.

Как пользователи могут защитить себя

Внимательно читайте отзывы

Рекламное ПО (adware) и мошеннические программы бывает трудно сразу распознать. Они часто маскируются под развлекательные приложения. Главные признаки, что приложение вредоносное: низкий рейтинг, отрицательные отзывы (уже там можно увидеть сообщения о навязчивой рекламе или низкой функциональности).

Мы нашли еще несколько приложений, над которыми работали разработчики этих семи программ. У них тоже низкий рейтинг и негативные отзывы, хотя при этом встречаются и слишком позитивные, положительные комментарии. Это тоже может быть признаком того, что что-то не так.

Оценивайте предложение

Пользователи должны понимать, за что они платят, имеет ли вообще смысл платить за такое приложение. Многие из этих приложений предлагают базовые функции за неоправданную цену. Например, обои стоимостью 8 долларов или простые игры, которые якобы шокируют игроков, а на деле просто заставляют вибрировать устройство. 8 долларов — это достаточно большая сумма для того, что можно бесплатно найти у других разработчиков.

Проверяйте разрешения

Перед загрузкой приложений пользователи должны проверить разрешения, запрашиваемые приложением, и подумать, оправданны ли запросы и имеют ли они смысл для работы программы. Мы уже писали о том, как настроить разрешения приложений для Android в другой нашей статье.

Приложение для Android ThemeZone — Shawky App запрашивает доступ к внешнему хранилищу устройства, которое может содержать фотографии, видео и файлы. Но доступ к внешнему хранилищу не нужен для работы приложения с обоями.

Поговорите с ребенком о безопасности в сети

Важно, чтобы родители говорили со своими детьми о выборе приложений для загрузки и обсуждали, на что нужно обращать внимание перед их установкой. Например, можно ввести правило: дети должны спросить разрешения, прежде чем скачивать приложение — это поможет избежать возможных лишних трат.

Скриншоты приложений и аккаунтов можно найти здесь.

Обнаруженные мошеннические приложения для Android

ThemeZone - Shawky App Free - Shock My Friends

Разработчик: Moteleb Inc. Рейтинг: 1.3

Количество загрузок согласно Google Play: от 100 тысяч. Количество загрузок по данным SensorTower (компании, занимающейся маркетингом и аналитикой мобильных приложений): 418 тысяч.

Доход по данным SensorTower: 15 000$ (около 1 150 000 рублей)

Как ведет себя приложение:

  • Запрашивает доступ к внешнему хранилищу через поддельный экран проверки безопасности.
  • Показывает пользователю рекламу мини-игры 'Shock your friends' с кнопкой бесплатной пробной версии.
  • При нажатии на кнопку бесплатной пробной версии, пользователь попадает на страничку платежа с еженедельной абонентской платой 8–10 долларов (600–750 рублей).
  • Как только пользователь оплачивает приложение, оказывается, что его основная функция — обои, а не игра.
  • Приложение часто показывает рекламу даже после оплаты.

Tap Roulette ++Shock my Friend

Разработчик: Go Best. Рейтинг: 2.2

Количество загрузок согласно Google Play: от 1 млн. Количество загрузок согласно SensorTower: 1,7 млн.

Как ведет себя приложение:

  • Приложение запрашивает разрешение на отображение поверх других приложений, а затем использует его для активного показа рекламы.
  • Приложение якобы включает в себя мини-игру, но по факту просто заставляет телефон вибрировать.
  • Как только пользователь начинает играть, он активирует рекламного трояна. Приложение скрывает свою иконку и начинает активно показывать рекламу.

Ulimate Music Downloader - Free Download Music

Разработчик: Go Best. Рейтинг: 3,2

Количество загрузок согласно Google Play: от 100 тысяч. Количество загрузок согласно SensorTower: 192 тысяч.

Как ведет себя приложение:

  • Приложение запрашивает разрешение на отображение поверх других приложений, а затем использует его для активного показа рекламы.
  • Как только пользователь прослушает несколько песен, он активирует рекламного трояна. Приложение скрывает свою иконку и начинает активно показывать рекламу.

Обнаруженные мошеннические приложения для iOS

Shock My Friends - Satuna

Разработчик: Abdelsatar Abdalmotaleb. Рейтинг: 1.6.

Количество загрузок согласно SensorTower: 22 тысячи. Прибыль согласно SensorTower: $157 000.

Как ведет себя приложение:

  • Просит 8 долларов (около 600 рублей), чтобы якобы испугать друзей пользователя.
  • Устройство только вибрирует — других функций у него нет.

666 Time 

Разработчик: Abdelsatar Abdalmotaleb. Рейтинг: 3.0

Количество загрузок согласно SensorTower: 10 тысяч. Прибыль согласно SensorTower: $57 000.

Как ведет себя приложение:

  • Просит 8 долларов (около 600 рублей), чтобы якобы испугать друзей пользователя.
  • Устройство только вибрирует — других интересных функций у него нет.

ThemeZone - Live Wallpapers

Разработчик: Abdelsatar Abdalmotaleb. Рейтинг: 2.0

Количество загрузок согласно SensorTower: 67 тысяч. Прибыль согласно SensorTower: $246 000.

Как ведет себя приложение:

  • Просит 2$ (около 150 рублей) за обои с анимацией.
  • После этого пользователь должен заплатить еще 8 долларов (около 600 рублей), чтобы получить доступ VIP-обоям.
  • Судя по отзывам пользователей, фоны либо не работают, либо не соответствуют заявленным.

shock my friend tap roulette v 

Разработчик: Apps & Games Inc Unlimited Fun Free Games. Рейтинг: 1.6

Количество загрузок согласно SensorTower: 44 тысячи. Прибыль согласно SensorTower: $52 000.

Как ведет себя приложение:

  • Просит 5 долларов (около 380 рублей), чтобы якобы испугать друзей пользователя
  • Устройство только вибрирует — других функций у него нет.

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter.