Черный список ПО: вся правда о приложениях

15.11.2012

Скрытые списания денег со счетов, кража данных, бесполезные функции — для Андроид, iOS и Windows разработано множество приложений, единственная цель которых — вытянуть из пользователей деньги. Но от мошенников можно защититься.

Скрытые списания денег со счетов, кража данных, бесполезные функции — для Андроид, iOS и Windows разработано множество приложений, единственная цель которых — вытянуть из пользователей деньги. Но от мошенников можно защититься. Angry Pigs and Birds, The Stupid Test и «Отель Монополия» — три мошеннических игры из «черного списка» CHIP Около года назад обладатели устройств на базе Windows Phone, решившие приобрести в магазине Windows Marketplace программу AVG Mobilation, получили горький опыт. Приложение не могло навредить операционной системе благодаря использованию принципа «песочницы» — программа имела доступ к файлам только в ограниченной среде. Однако при этом за несколько дней работы коварная утилита успевала передать личные данные пользователя — адрес электронной почты, идентификационный код устройства IMEI и GPS-координаты — на сервер компанииразработчика AVG.

Несоответствующая действительности информация о функциях приложения, несанкционированный доступ к личным данным, а иногда и скрытая отправка платных SMS, баннеры-ловушки и «покупки внутри приложений» — разработчики буквально на каждом шагу пытаются обмануть пользователей. Apple контролирует только техническую и содержательную сторону новых программ. Иными словами, если утилита исправно работает и не содержит порнографии, то она проходит проверку. Магазин приложений от Google под названием Play Market проверяет софт на наличие опасного содержимого с помощью сервиса Bouncher, появившегося в феврале 2012 года. Эта система должна автоматически распознавать вирусные программы, отыскивая аналогии с определенным вредоносным кодом. Два сотрудника компании Duo Security без особых усилий доказали, насколько несовершенен такой принцип работы: им удалось вычислить признаки, по которым идет поиск опасного ПО, и внести в вирусные программы соответствующие изменения, в результате чего подобные приложения с легкостью преодолевали систему защиты. Единственные пользователи, перед которыми проблема борьбы с вирусным ПО пока еще не встала остро, — владельцы устройств на основе мало распространенной на сегодняшний день ОС Windows Phone. Но не нужно торопиться с выводами: все может измениться с появлением Windows 8. Едва ли кто-то поспорит с тем, что проанализировать сотни тысяч программ и их обновлений — задача из разряда невыполнимых, особенно если принимать во внимание также альтернативные магазины приложений наподобие Cydia Store или SlideMe, где контроль еще более ослаблен или вовсе отсутствует.

CHIP расскажет о наиболее распространенных уловках мошенников, а также о том, что нужно делать, чтобы не попасться на крючок.

Как нас обводят вокруг пальца?

Установка приложения может обойтись вам дороже, чем вы думаете. Речь идет в первую очередь об отправке платных SMS — опасности, которую не так-то просто распознать.

С точки зрения статистики говорить об «эпидемии» вирусов на мобильных устройствах пока еще рано. Однако примерно половина всех известных «программ-вредителей» приходится на вирусы, занимающиеся рассылкой дорогих SMS или звонками на платные номера. Скандал из-за двух таких утилит-мошенников разразился в июле, когда выяснилось, что приложения, позволяющие устанавливать на мобильный телефон обои по мотивам всеми любимых компьютерных игр Super Mario Bros и GTA 3, содержат вредоносный код. За три недели программу успели скачать из Play Market около 50 000 человек — лишь после этого Google заблокировала приложение. Каким образом вирусу удалось так хорошо замаскироваться? Все дело в том, что вредоносный код прятался не в самой программе. После ее установки пользователям предлагалось отправить SMS для активации — и таким образом скачать второе приложение, где и скрывалась угроза.

Интернет-мошенники часто прикрываются известными играми, и этот номер каждый раз проходит у них с большим успехом, ведь громкие названия воспринимаются пользователями, особенно неопытными, как гарантия надежности. Например, злоумышленники оперируют репутацией таких популярных игр, как Angry Birds, Cut the Rope и даже знаменитого фотоприложения Instagram.

За «клоны» тоже придется платить

Наряду с такими «зловредными» утилитами существует огромное количество программподделок, которые хотя и используют известные названия или популярные функции, но не содержат вредоносного кода. Они не бесплатны, но зачастую значительно дешевле, чем оригиналы. Например, в поисках знаменитой игры Angry Birds можно легко наткнуться на ее всевозможные вариации — Angry Pigs and Birds и т. п.

Человек, не увлекающийся мобильными играми, запросто может не отличить оригинал от подделки. Особенно отличилось приложение Flight Simulator Pro: его создатели так постарались, что даже снабдили ярлык пометкой «Microsoft». На деле же программа не имеет ничего общего ни с Microsoft, ни, тем более, с симулятором полетов — по сути она представляет собой лишь подготовленную на скорую руку подборку информации, рассказывающей об известной компьютерной игре.

Дорогие лакомства для монстров

Другая распространенная тактика — сначала привлечь пользователей бесплатными предложениями, а уж потом залезть к ним в карман. Классический пример — так называемые Light-версии: программы, в которых количество функций сведено к такому минимуму, что пользоваться ими практически невозможно. Разработчики игр ловко спекулируют на том, что азарт и желание пополнять инвентарь снова и снова толкают игроков на дополнительные расходы. Так, в стратегиях наподобие Monopoly Hotels или Monster Pet Shop пользователю придется приобретать необходимые предметы или лакомства для монстров, а любителям приключенческих игр, таких, например, как знаменитая Infinity Blade, наверняка захочется получить волшебные доспехи (или монеты, необходимые для их покупки). Цены на эти дополнительные предметы могут довольно сильно варьироваться от чисто символических сумм до внушительных 3000 рублей за большой мешок сладостей для монстров.

«Покупки внутри приложений» — далеко не единственный способ выманивания денег. Не менее часто используются рекламные объявления, расположенные так близко от кнопок приложения, что на них очень легко случайно нажать, и этот клик дорого обойдется пользователю. Иногда баннеры маскируются под системную информацию — например, так было в апреле с популярным приложением Draw Something. Нажав на такое рекламное объявление, пользователь, сам того не желая, подписывается на абонемент: в обмен на баснословную сумму он получает новые рингтоны или сомнительные обещания, что теперь его телефон сможет дольше обходиться без подзарядки. В случае с приложением Draw Something абонентская плата составляла 30 рублей в месяц. Новая тенденция среди рекламодателей — размещать баннеры непосредственно в области уведомлений. Так они смотрятся гораздо солиднее и вызывают меньше подозрений.

Кража данных в рекламных целях

Бесплатные приложения, финансируемые рекламодателями, в большинстве случаев запрашивают неоправданно много данных. Причина ясна: чем больше известно о пользователе, тем точнее можно определить, какая реклама его заинтересует, — и, как следствие, тем больше получится заработать. Полученные данные используются для создания так называемых индивидуальных потребительских профилей. Зная, что человек часто пользуется определенными приложениями, уже можно сделать какие-то выводы об его потребительских привычках. Конечно, от этого нельзя пострадать материально, но согласитесь, не слишком приятно, когда информация о вас попадает к третьим лицам. Такие приложения-шпионы обычно запрашивают разрешение на то, чтобы самостоятельно осуществлять звонки, отправлять и получать SMS, считывать протоколы соединения, изменять системные настройки и пользоваться неограниченным доступом в Интернет. Если не дать согласие на совершение этих действий, устройство под управлением Android или Windows Phone не разрешит установку приложения. Некоторые операционные системы, например iOS, и вовсе не показывают уведомления о том, что приложению открывается доступ к личной информации — разрешение запрашивается только для определения GPS-координат. Начиная с версии iOS 6 и выше, пользователи смогут контролировать доступ и к другим персональным данным. Впрочем, это не играет большой роли, ведь выбора, как правило, не остается — или вы согласитесь на все требования приложения, или должны будете от него отказаться.

Учимся избегать ловушек

Следуя нескольким простым рекомендациям, вы сможете не только помешать мошенникам безнаказанно списывать деньги с вашего счета, но и исправить последствия необдуманных покупок.

Если вы пожалели о том, что купили приложение, его можно «вернуть в магазин» и получить платеж обратно. Пользователям ОС Android придется проявить расторопность: возврат возможен лишь в первые 15 минут после покупки. Для этого зайдите в Play Store и откройте пункт меню «Мои приложения». Найдите нужную программу и нажмите на «Возместить | Удалить». Если момент уже упущен, то остается только обратиться напрямую к разработчикам — их контактные данные можно найти на странице приложения. Однако следует принять во внимание, что, если вы приобрели программу-подделку родом из Китая, шансы на успех практически равны нулю.

Владельцам Apple-устройств отводится больше времени на возврат, но и путь им надо пройти куда более тернистый. Зайдите под своей учетной записью в iTunes. Далее кликните по ссылке «Учетная запись» и перейдите в раздел «История покупок». Здесь нажмите на кнопку «Сообщить о проблеме» и выберите утилиту, от покупки которой вы хотели бы отказаться. При отправке сообщения нужно указать причину возврата — например, «описание функций программы не соответствует действительности». Опыт показывает, что чаще всего в таких случаях Apple идет навстречу клиенту и возвращает платеж.

Немного больше повезло владельцам устройств на базе Windows Phone: у них есть возможность бесплатно испытать приложение перед покупкой. И хотя в тестовом режиме доступна только часть функций, это довольно действенный способ избежать необдуманных приобретений. Возврат приложений осуществляется в Marketplace в течение 24 часов после покупки — для этого необходимо обратиться в службу поддержки и описать проблему, которая у вас возникла.

Активируем защитные функции

В операционной системе iOS покупки внутри приложений всегда подтверждаются с помощью пароля. Впрочем, если вашим детям известно кодовое слово, данная предосторожность не поможет. Как же избежать выставления огромных счетов? Откройте пункт меню «Настройки | Общие | Активировать ограничения» и отключите функцию In-App-покупок. В устройствах на базе ОС Android деактивация покупок внутри приложений не предусмотрена, зато можно установить защиту с помощью PIN-кода. Выберите в меню Play Store пункт «Настройки», перейдите к «Задать или изменить PIN-код» и введите любое четырехзначное число. Затем активируйте функцию «Использовать PIN для покупок». Что касается Windows Phone, то, по предварительной информации, устройства на базе данной ОС будут поддерживать In-App-покупки начиная с восьмой версии. Какие защитные функции станут при этом применяться, пока неизвестно.

«Черный список»: 30 опасных мобильных приложений

Название ОС
Описание
Flight Simulator Pro (30 руб.) iOS На иконке для привлечения внимания покупателей указано название компании Microsoft. На самом деле это приложение даже нельзя назвать игрой, ведь кроме текстовой информации в нем ничего нет. Тем не менее оно платное.

Foodspotting (бесплатно) iOS, Windows Phone, Андроид Популярное приложение, которое помогает при поиске кафе и ресторанов. Его недостаток в том, что оно передает электронный адрес пользователя, идентификационный код устройства и статистические данные аналитическому интернет-сервису Flurry.

WhatsApp (0 -30 рублей) iOS, Windows Phone, Андроид Если захотите изменить настройки мессенджера или сделать его совместимым с другими приложениями, придется раскошелиться. Кроме того, приложение отправляет телефонные номера на сервер в незашифрованном виде.

Barcode Scanner (бесплатно) Windows Phone Приложение распознает отнюдь не все штрих-коды, зато считывает информацию о пользователе и идентификационный код устройства. Кроме того, оно содержит баннеры-ловушки: стоит пользователю случайно кликнуть по такому, как оказывается, что он подписался на платные услуги.
Погода (300 руб.) iOS В этом приложении можно найти информацию о землетрясениях, спутниковые карты, сведения о космической погоде и даже радиостанцию NOAA. Одно только плохо: программа периодически «вылетает», а то и вовсе не запускается.
File Manager (100 руб.) iOS Данная программа позиционируется разработчиками как полноценный файловый менеджер, но на деле оказывается практически бесполезной, поскольку работать в ней можно только с теми файлами, которые скачивались непосредственно с помощью этой утилиты.
Real SMS (100 руб.) iOS В описании приложения заявлено, что оно может отправлять сообщения на все мобильные устройства. Подпись внизу мелким шрифтом гласит, что этот сервис поддерживают только два мобильных оператора — SMSGlobal и BulkSMS.
Фонарик Tiny Flashlight (бесплатно) Андроид Подсветка обеспечивается за счет фотовспышки и дисплея. Внимание: для работы приложения необходим постоянный доступ в Интернет, а кроме того, программа считывает телефонные номера и IMEI-коды.
WordShot Pro (520 руб.) Windows Phone Заявлено, что приложение может переводить в электронный формат сфотографированные слова. Утилита далеко не всегда справляется со своей задачей, зато незаметно получает доступ к файлам пользователя, в том числе к музыке и видео, а также считывает идентификатор устройства.
CoPilot Live Premium (от 835 руб.) iOS, Андроид Эта навигационная программа способна самостоятельно осуществлять звонки, считывать контактные данные и даже изменять системные настройки.
Scrabble (60 руб.) iOS Популярнейшая игра, известный разработчик (EA, Matel) — но уровень исполнения оставляет желать лучшего. Словарь катастрофически скуден, а то и дело изобретаемые компьютером неологизмы делают игру и вовсе бессмысленной.

Honey Player (140 руб.) Андроид Музыкальный проигрыватель, который получает доступ к большому количеству данных, в том числе протоколу, где может содержаться конфиденциальная информация — такая, например, как логин. Кроме того, в работе этого приложения часто происходят сбои.
Plants vs. Animals (30 руб.) iOS Подделка под популярную игру Plants vs. Zombies. Пользователь платит за то, что несколько фигурок бессмысленно перемещаются туда-сюда по экрану — и больше ничего не происходит.
Mobile Metronome Pro (47 руб.) Андроид Приложение-метроном считывает идентификационный код устройства и дает доступ к этим данным третьим лицам. Кроме того, программу можно купить только на 30 дней — по истечении срока вам снова придется потратиться.
Angry Pigs and Birds (30 руб.) iOS Данное приложение — не что иное, как неудачный клон культовой мобильной игры Angry Birds. Пользователей, попавшихся на крючок и купивших такую подделку, ожидают сплошные разочарования: ни очков, ни призов, ни новых уровней — одним словом, типичная программа-фейк.
MusicID (30 руб.) iOS, Андроид Программа для определения исполнителя и названия песни по ее отрывку считывает GPS-координаты телефона и режим, в котором он работает, а кроме того, получает разрешение на запись и удаление данных. При этом приложение далеко не всегда опознает песни правильно.
Virtual Earth Live Wallpaper (30 руб.) Андроид Разработчики обещают пользователям фотографии земного шара в высоком разрешении и анимацию хорошего качества. На деле же на изображении видны отдельные пиксели, а видео «тормозит».
Barcode Scanner (30 руб.) iOS Передает статистические данные и идентификационный код устройства третьим лицам. Получив такую информацию, можно без труда проанализировать потребительское поведение человека и использовать полученные результаты в рекламных целях.
Chat for Google Talk Pro (30 руб.) iOS, Windows Phone Эта программа-мессенджер разработана компанией iLegendSoft и не имеет ничего общего с Google. Громкое название используется лишь для того, чтобы привлечь покупателей, — классический трюк мошенников.
What’sApp+ EmoticonEmoji (64 руб.) Андроид Приложение обещает огромное количество смайликов, которые можно использовать в программе-мессенджере WhatsApp, на деле же выбор оказывается весьма скудным. Зато контактные данные пользователя считываются в полном объеме.
«Документы» (60 руб.) iOS Это офисное приложение, призванное облегчить работу с документами, на самом деле не приносит никакой пользы — проблемы начинаются уже при попытке открыть файлы.
Russia Premium-TV Radio (30 руб.) iOS Уверения разработчиков, что это приложение  способно принимать более 1000 ТВ-каналов и радиостанций, не более чем рекламный трюк: максимум, что ожидает пользователей, — бесплатные онлайн-трансляции в плохом качестве. Из русскоязычных каналов доступно всего два, причем один из них — amtv.ru — не работает.
QR Droid (бесплатно) Андроид Программа для распознавания QR-кодов, которая выуживает слишком много личной информации: контактные данные, история запросов, закладки в браузере. Эти сведения передаются третьим лицам.
«Отель Монополия» (бесплатно) iOS Цель игры заключается в строительстве отелей. Приложение бесплатное, но играть в него, не совершая покупок, практически невозможно. Виртуальные монеты также можно заработать, участвуя в рекламных акциях, но конфиденциальностью данных при этом придется пожертвовать.
Pocket Heat (30 руб.) iOS Это приложение якобы превращает iPhone в портативный нагреватель за счет использования ресурсов его процессора. «Теперь, если вам станет холодно, вы в любой момент сможете погреть руки в кармане», — обещают разработчики. Однако практика показала, что теплее от чудо-программы не становится, а на аккумуляторе телефона подобные эксперименты сказываются не лучшим образом.
iFun (34 руб.) Windows Phone По задумке разработчиков, эта программа должна превращать телефон на базе Windows Phone в iPhone. Итог плачевен: ни одно из приложений не открывается, а сведения об интернет-соединении, IP-адрес и контактные данные пользователя больше не являются тайной.
Traffic Data (30 руб.) iOS Программа, разработанная для учета интернет- трафика мобильного устройства. Достоверность получаемых данных при этом находится под большим вопросом, к тому же показатели заметно «скачут» при смене сети.
The Stupid Test (бесплатно)
Еще
iOS, Андроид Еще одно бесплатное приложение-клон. Оригинальная игра стоит 30 рублей, зато она не требует доступа к личным данным пользователя. Тем же, кто захочет установить бесплатную подделку, придется разрешить программе чтение и редактирование истории запросов и папки «Избранное», а также получение и отправку SMS и определение IMEI-кода устройства.
«Орегонская тропа» (30 руб.) iOS, Андроид Не стоит обольщаться кажущейся дешевизной этого приложения: в него почти невозможно играть без совершения покупок. Конечно же, в описании об этом ничего не сказано.
iPackage (96 руб.) iOS Эта программа, созданная для отслеживания почтовых отправлений по их номерам, не прошла ни один наш тест. Кроме того, она очень плохо переведена и часто «вылетает».