La премахване на приложения от Google Play Това не е еднократен или изолиран инцидент: той е част от текуща стратегия за почистване и контрол, с която Google се опитва да поддържа Android относително сигурна среда, въпреки милионите приложения, качвани и актуализирани всяка година. Това, което не винаги е видимо отвън, е обхватът на този процес на проверка и какви типове приложения в крайна сметка биват премахвани.
През последните години видяхме Премахвания поради рекламни измами, злонамерен софтуер, нежелани приложения, нарушения на авторски права, обидно съдържание и прости технически грешки които не отговарят на минималните стандарти за качество. Освен това компанията подсилва този процес с изкуствен интелект, нови функции за сигурност, като например откриване на заплахи в реално време, и все по-строга политика спрямо рецидивистите. Нека разгледаме, всеки случай поотделно, най-поразителните примери и признаците, които могат да ви помогнат да разберете дали нещо странно се случва на телефона ви.
Основни кампании за рекламни измами: SlopAds и IconAds
Едно от най-сериозните предизвикателства за Google Play напоследък е... мащабни рекламни измами, организирани чрез привидно легитимни приложенияДве операции, разкрити от екипа на HUMAN за разузнаване на Satori Threat Intelligence, се открояват тук: SlopAds и IconAds.
В случай на SlopAdsИзследователите са идентифицирали 224 злонамерени приложения, хоствани в самия Play Storeне в неясни хранилища или уебсайтове със съмнителна репутация. Заедно те са имали общо над 38 милиона изтегляния и са били способни да генерират около 2.300 милиарда заявки за реклами на ден, колосален обем фалшиви импресии, който би означавал загуби от милиони за рекламодателите.
Ключът към SlopAds беше неговият тих и изключително сложен начин на действиеПриложенията функционираха нормално след инсталирането, но ако потребителят кликнеше върху конкретна реклама, свързана с кампанията, преди да ги изтегли, се активираше един вид скрит „превключвател“. Чрез Firebase Remote Config приложенията изтегляха криптиран конфигурационен файл с връзки към злонамерени модули и сървъри за командване и контрол.
Този файл доведе до втора фаза: Зловредният софтуер е изтеглил няколко на пръв поглед невинни PNG изображениякойто всъщност съдържаше фрагменти от код от модул, наречен „FatModule“. След като беше рекомбиниран и изпълнен, този компонент стартираше невидими WebViews на устройството, сякаш бяха портали за игри или новини, и продължаваше към показване на фонова реклама за генериране на фалшиви кликвания без потребителят да види нищо.
Google е свършил премахване на всички приложения, свързани със SlopAds HUMAN пусна приложението и актуализира Play Protect, за да открие този модел, като по този начин гарантира, че засегнатите устройства са защитени. Експертите на HUMAN обаче предупредиха, че нападателите са имали планове да разширят операцията и е вероятно да се върнат с подобни варианти, така че заплахата далеч не е приключила.
Нещо подобно се случи и с IconAds, друга мащабна кампания, която накара Google да изтрие повече от 350 измамни приложения от Play Store. В този случай киберпрестъпниците са разчитали на съвременни тактики, като например кражба на идентификационни данни от легитимни разработчици или закупуване на съществуващи приложения с добра репутация, а след това вграждане на зловреден код в по-късни актуализации.
Приложенията, свързани с IconAds, бяха експерти в камуфлажа: модифицираха своите Те или скриха иконата, или я замениха с други общи символи. така че потребителят да не може лесно да ги намери и следователно да не може да ги деинсталира. Междувременно те заливат телефона с агресивна реклама и остават активни във фонов режим.
Открити са общо 352 свързани приложения, чиито имена изглеждат безобидни (например комбинации от общи думи като „character.word.lexi.stat“ или „com.animal.kitten.selfie“). Въпреки че Google ги премахна от магазина и Play Protect блокира нови инсталации, вече инсталираните приложения не изчезват сами: Потребителят трябва да ги намери и изтрие ръчноHuman Security поддържа публичен списък с тези приложения, така че всеки да може да провери дали има инсталирани такива.
Ограничения за сигурност: брой блокирани приложения и ролята на изкуствения интелект
Освен специфични случаи, Google извършва мащабно и непрекъснато почистване на потенциално вредни или нискокачествени приложенияСамо през една скорошна година около 2,3 милиона приложения, качени в Play Store, бяха блокирани, което спря публикуването им, преди да достигнат до потребителите.
Успоредно с това, компанията Затворени са приблизително 158 000 акаунта на разработчици. за опит за разпространение на шпионски софтуер, зловреден софтуер или други видове опасен софтуер. В предишни проучвания цифрите са били подобни или дори по-високи, с пикове от над 2,28 милиона блокирани приложения и над 300 000 профила на разработчици, забранени при откриване на повтарящи се злоупотреби или подозрителни модели на поведение.
Значителна част от тези усилия се движат от изкуствен интелект, който подпомага човешките прегледиСпоред собствените данни на Google, над 90% от решенията за преглед на потенциално опасни приложения вече се подкрепят от модели с изкуствен интелект, което позволява по-бързи и по-точни действия. Това е помогнало за пресичане на много заплахи в зародиш, преди дори да се появят в магазина.
Благодарение на това филтриране, издаването на безсмислени разрешителни също е намалено: те са избегнати над 1,3 милиона приложения с прекомерни заявки за разрешения което би дало неоправдан достъп до чувствителни данни като контакти, местоположение, микрофон или камера.
Въпреки това, Google настоява, че Play Protect и автоматичните проверки не са безпогрешниСтотици милиарди приложения и актуализации се анализират всеки ден и някои заплахи успяват да се промъкнат. Ето защо обичайните препоръки остават ключови: проверявайте отзиви, не инсталирайте приложения от неизвестни разработчици лекомислено, управлявайте приложенията си И ако се открие нещо необичайно, деинсталирайте го възможно най-скоро.
Нови политики за качество: сбогом на ненужните и повредените приложения
В допълнение към преките заплахи, Google иска да прочисти запасите си от Нежелани приложения, които не добавят стойност или дори не работят правилноЗа тази цел тя актуализира своите политики за спам и минимална и неработеща функционалност, с конкретен график за внедряване, започващ през 2024 г.
Под чадъра на минимална функционалностPlay Store ще премахне или понижи версията на всички приложения, които просто показват статичен текст, обикновен PDF файл, едно изображение или чието съдържание е толкова минимално, че предлагат малко полза. Насочени са и... Основни приложения с един тапет, непроменени клонинги или инструменти, които буквално не правят нищо освен за да служи като извинение за тайно вмъкване на реклама.
В раздел нарушена функционалностЦелта са приложения, които постоянно се затварят, замръзват при отваряне, не се инсталират правилно, не се зареждат или не реагират на действията на потребителя. Досега тези приложения можеха да останат в магазина с лоши оценки и предупреждения, но намерението на Google е... Премахнете ги директно, за да намалите чувството на неудовлетвореност от кого ги сваля.
Тази стратегия не е съвсем нова: през 2020 г. много популярни приложения като Митрон o Премахване на Китайски приложения за нарушаване на правилата за спам и минимална функционалност, въпреки натрупването на милиони изтегляния. Идеята е да се даде приоритет на качеството и сигурността пред популярността, дори когато приложенията са станали вирусни.
Успоредно с това, Android 15 въвежда т.нар. откриване на заплахи на живоТази функция използва изкуствен интелект, за да анализира в реално време поведенчески сигнали, свързани с чувствителни разрешения и взаимодействие между приложенията. Ако бъде открит типичен модел на злонамерен софтуер, системата може да маркира приложението като опасно и дори да улесни премахването му от Google Play.
Злонамерени приложения, които се крият или са трудни за изтриване
Друг деликатен случай е свързан с приложения, които, въпреки че са в Play Store, използват трикове за скриване на устройството или за максимално затрудняване на деинсталирането муИмаше няколко кампании, при които потребителят вярваше, че приложението дава грешка при инсталиране, но в действителност то оставаше активирано във фонов режим.
При инсталиране на определени приложения се появяваше съобщение, подобно на това: „Това приложение е несъвместимо с вашето устройство“ След това Google Maps се отваряше, сякаш нищо не се е случило. Много потребители предположиха, че просто е несъвместима и забравиха за нея, когато в действителност програмата вече беше инсталирана, но беше премахнала иконата си от чекмеджето с приложения, за да остане незабелязана.
В други варианти, вместо да изчезне, иконата на приложението Ще се промени на типичния символ за изтегляне или друга обща иконатака потребителят е помислил, че е системен компонент, а не подозрителна програма. Това е гарантирало, че приложението е останало на телефона за дълго време, събирайки данни или показвайки реклами.
Сред приложенията, открити в една от тези вълни, бяха имена като Светкавично активиране на обаждания и съобщения, QR код под наем, магия на изображенията, генериране на елфи, спестяване на разходи, QR артефакт o Намери своя телефон, в допълнение към различни инструменти за редактиране на фон и изрязване на изображения (Auto Cut Out Pro, Background Cut Out, Photo Background, ImageProcessing, Auto Cut Out 2019 и др.).
Потребителите започнаха да Уведомявайте Google чрез коментари и доклади в Play Storeподробно описание на странното поведение на тези приложения. Тъй като обемът на приложенията и отзивите е огромен, може да отнеме известно време, за да бъдат прегледани всички оплаквания и приложенията да бъдат премахнати, така че предварителното познаване на имената на засегнатите приложения и избягването им е добър допълнителен слой защита.
Известни примери за приложения, премахнати поради съдържание, права или измама
В историята на Android е имало и Има много нашумели случаи на изтегляне на приложения по правни, етични или просто измамни причини.Някои от тях бяха много популярни, което показва, че не само малки, непознати приложения биват премахвани.
Ясен пример е спиранеКартова игра, много популярна в Русия и други страни от бившия съветски блок. В Google Play имаше специфична версия, която достигна над пет милиона изтегляния и се оказа злонамерена: след инсталирането тя започна да инжектира зловреден софтуер. изскачащи прозорци в други приложения да принудят кликвания върху реклами и да генерират повече приходи. Когато измамното поведение беше открито, Google го премахна. Днес е възможно да изтеглите игри на Durak без този проблем, но този случай бележи повратна точка.
Друг фронт е този на конзолни емулаториПо принцип емулаторите не са забранени като такива и магазинът има примери за почти всички класически машини. Емулаторът обаче PSX4droid Приложението беше оттеглено след натиск от Sony, която по това време рекламираше Xperia Play и не гледаше благосклонно на приложение, което позволяваше на потребителите да играят заглавия на PlayStation без контролер. Използването на BIOS на конзолата в процеса също не помогна. Интересното е, че други подобни емулатори, като FPse, останаха налични.
Нещо подобно се случи и с Snes9XЕдин от най-добрите емулатори на Super Nintendo за Android. Според съобщенията Nintendo е оказала натиск за премахването му от Play Store, но това не го е спряло да се появи. варианти, базирани на неговия код или алтернативни емулатори като SuperRetro16, който дори трябваше да промени оригиналното си име (SuperGNES) поради причини, свързани с търговската марка.
Приложенията, свързани със съдържание, защитено с авторски права, също са имали сложен живот в Google Play. Popcorn времеПриложението, което предлагаше стрийминг на филми и телевизионни предавания, защитени с авторски права, се опита да се промъкне в официалния магазин, но бързо беше премахнато поради очевидно нарушение на закона. Същото се случи и с официалното приложение на Grooveshark, добре позната услуга за слушане на безплатна музика, която изчезна от магазина много преди услугата да затвори, именно заради конфликта с лицензираната музика.
В областта на обидното и дискриминационно съдържание, един от най-противоречивите примери беше приложението „Синът ми гей ли е?“Предполагаем тест за „определяне“ дали едно дете е гей. Приложението нямаше никаква научна основа и предаваше очевидно хомофобско послание, така че беше премахнато преди години и оттогава в Play Store не са се появили значителни клонинги.
Съществува и място за измами под формата на фалшиви приложения за сигурност. Случаят с Щит за вируси Той стана особено известен: показа обещания Премахнете вирусите и защитете мобилния си телефон с цялостно сканиранеАнализът на кода му обаче разкри, че не прави абсолютно нищо полезно. По същество, то изпълнява обратно броене и показва анимация, симулираща активност. След като измамата беше разкрита, Google премахна приложението и затвори акаунта на разработчика.
В областта на изтеглянето на съдържание от YouTube, TubeMate За известно време това беше едно от най-популярните приложения за запазване на видеоклипове на устройства. Google и YouTube не бяха много доволни, че хиляди потребители можеха Изтегляне на видеоклипове извън официалната системаТова беше допълнително подхранено от платени услуги, които позволяваха ограничени изтегляния за гледане офлайн. В крайна сметка TubeMate беше премахнат от Play Store, въпреки че все още може да бъде получен по други начини.
Шпионски софтуер и банкови троянски коне: KoSpy, Anatsa и компания
Кампаниите на шпионски софтуер и банкови троянски коне Тези фактори принудиха Google да реагира с особено категорични мерки през последните месеци. Скорошен пример е зловредният софтуер. KoSpy, засечена от охранителната компания Lookout и свързана със севернокорейската групировка APT37 (ScarCruft), с възможни връзки с групировката APT43 (Kimsuky), специализирана в международен шпионаж.
KoSpy е способен събиране на SMS съобщения, дневници на обаждания, местоположения, аудио записи и екранни снимкиТова прави всеки заразен мобилен телефон източник на изключително чувствителна информация, както лична, така и професионална. Някои от приложенията, съдържащи зловредния софтуер, успяха да се промъкнат в Play Store, което наложи незабавното им премахване след откриването на заплахата.
Нещо подобно се случва и с троянски коне като Анаца (известна също като TeaBot)което се маскира като легитимни приложения и може да краде банкови данни и да прихваща кодове за потвърждение. При скорошни акции Google премахна около 180 приложения свързани с този тип зловреден софтуер, като общо са изтеглени над 56 милиона пъти.
Въпреки че най-опасните екземпляри вече не се предлагат в официалния магазин, много от тях се предлагат в външни хранилища, неофициални уебсайтове или връзки, получени чрез SMS, имейл или съобщенияЕто защо Google настоява толкова много Play Protect да остане активиран, избягвайки инсталирането на приложения от неизвестни източници и Следвайте съветите за инсталиране на безопасни и надеждни приложения извън Google Play.
Доклад от University College London подчертава, че приложенията, инсталирани чрез странично зареждане, често са изискват прекомерни разрешения и по-добре да скрият присъствието сиТова представлява значителен риск за тези, които управляват корпоративни или поверителни данни на мобилните си устройства. Поради това, в професионална среда почти винаги се препоръчва инсталирането на приложения да се ограничи до Play Store и каталог с приложения, контролиран от ИТ отдела.
Често изтегляни злонамерени приложения: iRecorder, медийни плейъри, клонинги на игри и други
Друг тревожен аспект е, че много приложения имат съмнителни намерения. Те са успели да натрупат стотици хиляди или дори милиони изтегляния преди да бъде разкрита истинската им същност. Компанията за киберсигурност Kaspersky регистрира някои значителни случаи само през 2023 г., с над 600 милиона комбинирани изтегляния в Google Play на приложения със злонамерено поведение.
Поразителен пример е iRecorder, който беше пуснат през 2021 г. като прост инструмент за запис на екрана на телефона. За известно време се държеше както беше обещано, но през август 2022 г. получи актуализация, която добави злонамерен код. Оттогава нататък приложението Той записваше аудио фрагменти от около 15 минути от време на време и ги изпращаха до сървърите на техните създатели. По времето, когато поведението беше разкрито, то вече беше надхвърлило 50 000 изтегляния.
В друга кампания те откриха 43 приложения с общи имена като TV/DMB Player, Music Downloader, News или CalendarОсвен всичко друго, неговият трик беше да работи във фонов режим и да показва реклами на екрана, дори когато потребителят е изключил телефона си, което водеше до прекомерна консумация на батерия и ресурсиЗаедно те имаха над 2,5 милиона изтегляния.
Лос Клонинги на Майнкрафт Те също така са били популярен вектор на зараза. Открити са приложения, които са натрупали около 35 милиона инсталации и са скривали компонента HiddenAds, отговорен за показването на скрити или незакрити реклами. Въпреки че на пръв поглед изглеждаха безобидни, в крайна сметка те очевидно влошиха производителността на устройството и отвориха вратата за други злоупотреби.
Във всички тези случаи препоръката на експертите е ясна: инвестирайте в надеждно решение за сигурност който е в състояние да открие този тип поведение, а не сляпо да се доверява на нещо само защото е в Google Play, и преди да го изтегли, да проучи историята и репутацията на разработчика.
Признаци, че дадено приложение може да е опасно и как да действате
Всички тези примери споделят поредица от симптоми, които можете да откриете в ежедневието си. Ако забележите необичайно бавно функциониране на системата, прекомерно изтощаване на батерията или необяснимо прегряванеДобра идея е да прегледате най-новите приложения, които сте инсталирали.
Други типични предупредителни знаци включват внезапна поява на изскачащи рекламиСтранни промени на началния екран, нови икони, които не си спомняте да сте инсталирали, или приложения, които не се деинсталират нормално. Ако не сте сигурни, е добре да направите сканиране с надежден антивирус за Android и да прегледате списъка си с инсталирани приложения, като потърсите непознати имена.
Ако откриете подозрително приложение, препоръчителният начин на действие е деинсталирайте го възможно най-скоро, отменят издадените разрешения (особено достъп до съобщения, обаждания, камера, микрофон и местоположение) и да променяте важни пароли, особено паролите за банкови услуги или критични услуги. Ако смятате, че фирмената информация може да е била компрометирана, най-добре е да информирате съответния отдел.
Като основни превантивни мерки, в допълнение към поддържането Play Protect е активиран и операционната система е актуализиранаВажно е да избягвате незащитени обществени Wi-Fi мрежи, да внимавате за подозрителни връзки, получени чрез приложения за съобщения или имейли, и да четете отзиви и оценки от други потребители, преди да инсталирате каквото и да било. Въпреки че филтрите на Google са се подобрили значително, Самонаблюдението остава първата линия на защита.
Всички тези усилия на Google – от откриването с изкуствен интелект и масовото премахване на вредни приложения до отстраняването на рецидивисти и затягането на политиките за качество – значително повишиха летвата за сигурност и надеждност на Play Store, но също така показаха ясно, че нападателите не спират: те променят тактиката, купуват легитимни акаунти, маскират злонамерен софтуер в актуализации или разчитат на нежелани приложения и клонинги, за да се промъкнат. Разбирането на тези Често срещани случаи на премахване на приложения от Google Play, техните причини и предупредителни знаци И до днес това е един от най-добрите начини за разумно навигиране в магазина на Android и минимизиране на риска от инсталиране на нещо, което превръща телефона ви в сито за данни или машина за фалшиви кликвания.
