Ai.type

Эксперты компаний Secure-D и Upstream Systems выяснили, что одна из наиболее популярных сторонних клавиатур для смартфонов и планшетов на базе Android содержала троян. Речь идёт о приложении Ai.type, которое лишь в Play Маркете набрало более 40 миллионов установок. Чего не хватало его разработчикам — непонятно.

Вирус, встроенный в Ai.type, скрытно вёл очень разнообразную жизнь на устройствах пользователей. Он демонстрировал рекламу, скликивая объявления в фоновом режиме, посещал различные сайты, занимался продвижением других приложений, а также оформлял платные подписки на различные сервисы. Некоторые трансакции были заблокированы банками и платёжными системами, а общий ущерб от оформленных подписок эксперты оценивают в 18 миллионов долларов.

Троян действовал по относительно новой, но уже изученной схеме. Само приложение не содержало вредоносный код и поэтому не блокировалось системой Play Protect в Play Маркете и на пользовательских устройствах. Один из встроенных в клавиатуру модулей получал от удалённого сервера зашифрованные команды для выполнения различных действий, которые были направлены на нелегальное извлечение выгоды.

Ai.type — достаточно востребованная клавиатура, которая в том числе была предустановлена на некоторые модели смартфонов. Компания Google уже удалила это приложение из Play Маркета, но не применила никаких санкций к разработчику, поэтому от его имени в магазине по-прежнему выложены различные модификации клавиатуры (платная, бесплатная, упрощенная, с ботами, со словарями для разных языков и т. п.). Не исключено, что наиболее популярная версия клавиатуры в скором времени будет избавлена от трояна и перезалита повторно.

Ai.type

Заражённая клавиатура Ai.type может по-прежнему распространяться в сторонних магазинах и различными фишинговыми способами. Кроме того, она осталась на устройствах, и далеко не все в курсе, что её нужно удалить. По оценке ИБ-специалистов, в опасности могут оставаться десятки миллионов пользователей. Единственный способ защититься от вируса — удалить клавиатуру или переустановить её обновлённую и очищенную версию, когда она появится в Play Маркете.

Этот случай в очередной раз доказал, что нужно внимательно следить за тем, какие разрешения запрашивают приложения. Если они просят то, что им явно не нужно, это повод задуматься — что они станут делать, если разрешить им задействовать откровенно лишние возможности?

Проблемы с Ai.type уже возникали ранее. Так в конце 2017 года выяснилось, что эта клавиатура стала причиной утечки огромного массива пользовательских данных. В базе объёмом 577 гигабайт содержалась информация о 31 293 959 пользователях. Исследователи выяснили тогда, что Ai.type собирала гораздо больше данных, чем обычно требуется подобным приложениям, в том числе: номер телефона, полное имя пользователя, модель устройства, название сотового оператора, номер SMS-шлюза, версию Android, разрешение экрана, IMEI-номер, IMSI-номер, email пользователя, страну проживания пользователя, ссылки на профили пользователя в социальных сетях, перечень контактов пользователя с номерами телефонов, ссылки на фотографии пользователя в Facebook и Google+, IP-адрес, местоположение по GPS.





iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
У нас есть подкаст и его видео-версия