В Google Play Store перекрыт канал доставки шпионских программ в приложения

Исследователи компании Lookout выявили в магазине Google Play свыше 500 приложений, которые могли использоваться для шпионажа за пользователями. Все они были вполне легитимными и успешно прошли проверку Google, однако создавались с использованием средства разработки мобильных приложений (SDK) Igexin. Именно Igexin и позволяет в дальнейшем загружать на устройства дополнительные плагины, с помощью которых организаторы атаки могут отслеживать, в частности, историю звонков пользователей.

Подобная схема является одним из главных каналов доставки вредоносных программ в Google Play: изначально безобидные приложения оснащаются дополнительным функционалом уже после того, как проходят проверку. Примечательно, что Igexin впервые вызвал подозрения еще более двух лет назад, когда эксперты Symantec отнесли его к «потенциально нежелательному ПО», основываясь на том, что SDK требовал обширных привилегий и имел возможность загружать дополнительный код. Но только сейчас специалистам Lookout удалось доказать обоснованность этих подозрений и установить, что Igexin действительно используется для оснащения легитимных приложений шпионским функционалом.

Представители Lookout подчеркивают, что разработчики, задействовавшие SDK Igexin, вряд ли имели дурные намерения – они просто использовали его как инструмент для создания собственных приложений, не подозревая о дополнительных возможностях. Чего нельзя сказать о самих создателях Igexin. Приложения, использовавшие его, были загружены свыше 100 миллионов раз. В настоящий момент все они уже удалены из Google Play Store либо заменены на обновленные и безопасные версии.