КАК ЗАЩИТИТЬСЯ ОТ ВРЕДОНОСНЫХ И ПОДДЕЛЬНЫХ МОБИЛЬНЫХ ПРИЛОЖЕНИЙ

HOW TO PROTECT AGAINST MALICIOUS AND FAKE MOBILE APPS

Andrey Mikhailov

student, Department of Information Security, Southwestern State University,

Russia, Kursk

Olesya Mikhailova

student, Department of Information Security, Southwestern State University,

Russia, Kursk

АННОТАЦИЯ

В данной статье рассматриваются способы защиты пользователей от вредоносных мобильных программ.

ABSTRACT

This article discusses how to protect users from malicious mobile programs.

Ключевые слова: смартфон, мобильные приложения, разработчики, киберпреступник, легитимное приложение.

Keywords: smartphone, mobile applications, developers, cybercriminal, legitimate application.

По статистике, в мире насчитывается около 4 миллиардов пользователей смартфонов, что составляет почти 50% населения планеты. Мобильная революция означает, что телефоны утратили свою первоначальную функцию звонков и отправки коротких сообщений и стали инструментами для развлечений, обучения и бизнеса. Эти функции теперь выполняются с помощью мобильных приложений, продающихся в специализированных магазинах, таких как Apple Store и Google Play*.

Популярность мобильных приложений растет с каждым годом: в период с 2016 по 2020 год количество загрузок мобильных приложений увеличится более чем в два раза - с 20 до 36 миллиардов в квартал. Ожидается, что к 2020 году общее количество загрузок превысит 204 миллиарда. Количество мобильных приложений в магазинах также растет. По статистике, ежемесячно выпускается около 100 000 приложений для Google Play* и 30 000 для Apple Store. Естественно, там, где информационные технологии используются в таких больших масштабах, есть и множество киберпреступников. Информация, хранящаяся на мобильных телефонах, включает как личные данные (фотографии, копии документов, информация о банковских картах), так и корпоративную информацию, и, если эта информация будет скомпрометирована, ее владелец окажется в очень неловком положении. Злоумышленники не должны пытаться украсть информацию с помощью социальной инженерии или других методов. Гораздо проще загрузить на устройство пользователя поддельные приложения, которые выглядят как настоящие и выполняют вредоносные функции. Но такие приложения не только крадут данные, они также могут добывать криптовалюту или размещать вредоносную рекламу.

Существуют также способы создания легитимных приложений, которые крадут необходимую информацию и отправляют ее киберпреступникам. Чем популярнее приложение, тем больше поддельных версий создается. В основе этого метода лежит человеческая психология. Многие люди хотят быть стильными и иметь на своем телефоне популярные приложения. Пользуясь этим, мошенники тиражируют похожие приложения с "второстепенными" функциями, такими как перехват текстовых сообщений, данных банковских карт и скриншотов. Внешний вид практически идентичен настоящему продукту. Иконки, имена, названия производителей и т.д. могут быть похожи на настоящие.

Приложения можно устанавливать с любого сайта, а не только из магазинов. Просто скачайте файл в определенном формате и установите. Этот способ доступен как для телефонов Android, так и для iOS. Магазин приложений будет периодически проверять содержимое, но не оператор сайта. Необходимость загрузки может быть вызвана такими факторами, как законы, запрещающие определенные категории приложений (например, казино, азартные игры, порнография) или маркетинговые мероприятия ("Наше приложение вот-вот появится в магазине, но еще не прошло соответствующие процедуры"). Злоумышленники также могут атаковать легитимные сайты и маскировать безопасные приложения под вредоносные или создавать собственные копии сайтов, содержащих опасные приложения.

Все пользователи мобильных устройств несут ответственность за их безопасное использование и сокращение площади атаки мобильных устройств. Для этого не требуются продвинутые навыки в области ИТ или информационной безопасности. Во-первых, как основное правило, приложения следует загружать из официальных магазинов. Загрузка приложений и установочных файлов из других источников крайне опасна. При загрузке приложений из официального магазина необходимо проверить производителя, рейтинг приложения и количество установок. Если вы сомневаетесь, вы можете получить дополнительную информацию из комментариев пользователей, которые ранее установили приложение. Чтобы установить официальное мобильное приложение, зайдите в магазин по ссылке с сайта производителя приложения. Это позволит избежать поиска по названию приложения и минимизирует риск установки поддельного приложения. Еще один способ проверить легитимность приложения - связаться с его производителем и прояснить все сомнения. Избегайте следующего. Приложения, запрещенные в данной стране. Например, с вероятностью 99,9% это поддельная программа, которая собирает личную информацию. Для установленных приложений вы должны контролировать запрашиваемый доступ. Например, калькулятор не должен запрашивать доступ к вашей галерее или контактам. Помимо контроля прав доступа, предоставляемых во время установки приложения, следует регулярно проверять права доступа, предоставленные в прошлом. Также рекомендуется удалять неиспользуемые приложения. Это не только минимизирует риск утечки информации, но и очистит память телефона. Также нелишним будет запомнить несколько основных правил кибергигиены.

Мобильные телефоны следует защищать паролем и не оставлять без присмотра в общественных местах. Лучше всего не подключаться к сетям Wi-Fi в общественных местах, так как сети Wi-Fi могут быть взломаны, а передача данных между мобильными телефонами и серверами может быть перехвачена и подделана. Лучше не подключаться к сетям Wi-Fi в общественных местах. Не забывайте обновлять приложения и операционную систему вашего мобильного устройства. Это обеспечит своевременное реагирование на известные уязвимости. Даже если на устройстве установлено банковское приложение или другое приложение с антивирусными возможностями, рекомендуется установить отдельное антивирусное программное обеспечение. Наконец, рекомендуется не выполнять "рутинг" или другие операции, запрещенные производителем. Чтобы пользователи не пострадали от действий легитимных приложений, разработчикам также необходимо соблюдать несколько правил.

Во-первых, в компании, разрабатывающей приложения, должна быть внедрена система управления информационной безопасностью. Это обеспечит применение лучших практик для защиты среды разработки и внутренней сети, снижая вероятность утечки исходного кода приложения через различные каналы связи и другими способами.

Во-вторых, внедрение концепции безопасной разработки SDL. Это позволяет минимизировать ошибки и уязвимости на этапе проектирования и разработки приложения. Это также требует использования специальных инструментов, таких как сканеры кода. Разработчикам приложений необходимо быть в курсе последних тенденций в области киберугроз. В этом помогут прогнозы Gartner и отчеты поставщиков и интеграторов. Перед выпуском приложения в магазин рекомендуется провести независимую проверку безопасности. Сторонняя экспертиза поможет выявить возникающие угрозы.

Приложения должны регулярно обновляться, а программные патчи должны применяться для добавления пользовательских функций или при наличии информации об уязвимостях приложения и способах их использования. Если установочные файлы приложения размещены на сайте, а не в магазине, их следует периодически проверять на предмет несанкционированных изменений. Приложения уже давно стали частью нашей жизни. И это касается не только мобильных приложений, но и приложений для "умных" телевизоров и других гаджетов. Мошенничество с использованием такого "программного обеспечения" будет продолжать развиваться в новых направлениях. Бороться с этим видом преступлений должны все заинтересованные стороны: разработчики, владельцы магазинов приложений и, конечно, сами пользователи. Речь идет о согласованных усилиях по минимизации подделок и связанных с ними потерь пользовательских данных и средств.

*(По требованию Роскомнадзора информируем, что иностранное лицо, владеющее информационными ресурсами Google является нарушителем законодательства Российской Федерации – прим. ред.)

Список литературы:

1. [Электронный ресурс] – Режим доступа: https://www.kaspersky.ru/resource-center/preemptive-safety/identifying-and-avoiding-fake-apps (дата обращения 03.01.2023).
2. [Электронный ресурс] – Режим доступа: https://www.anti-malware.ru/practice/methods/How-to-protect-yourself-from-malicious-mobile-app/ (дата обращения 03.01.2023).
3. [Электронный ресурс] – Режим доступа: https://www.cloudav.ru/mediacenter/tips/fake-apps (дата обращения 04.01.2023).