12 из 13 очень популярных мобильных антивирусов (включая ESET, Avast и Kaspersky) не прошли тест на шпионское ПО.
Приложения для наблюдения, тайно установленные на устройствах Android, продолжают представлять невидимую угрозу для жертв. Несмотря на наличие встроенных механизмов защиты и антивирусных программ, большинство решений не могут своевременно обнаружить такие приложения.
Новое исследование Electronic Frontier Foundation (ЭФФ) выявили огромные пробелы в мобильных системах безопасности – особенно в обнаружении и адекватном уведомлении пользователей о скрытом шпионском ПО.
Анализ охватывал 13 популярных антивирусных программ для Android, и только одна из них (Malwarebytes Mobile Security) сработала безупречно, обнаружив все 17 образцов шпионских программ.
Встроенная система Google Play Protect показала худшие результаты: ей удалось обнаружить чуть более половины образцов. Практически все остальные решения дали частичный ответ: Bitdefender, ESET, McAfee и Kaspersky пропустили по одному образцу, Avast, Avira и F-Secure — по два, а Norton и Sophos поймали около 82% угроз. За ними следуют G Data, Trend Micro и снова Google — с самыми низкими результатами.
Шпионские приложения предоставляют злоумышленникам постоянный доступ к содержимому устройства, такому как сообщения, фотографии, геолокация, аудио и другие данные. Они часто маскируются под приложения для родительского контроля или отслеживания сотрудников, но на самом деле используются для несанкционированного наблюдения.
После установки, которая почти всегда требует физического доступа к смартфону, эти приложения исчезают с экрана и начинают незаметно передавать собранную информацию. Некоторые из них дополнительно защищены паролями и блокировкой системных настроек, что усложняет процесс их удаления.
Авторы исследования подчеркивают, что, несмотря на формальные юридические оговорки, практика тайного использования таких приложений владельцем устройства в некоторых странах может считаться преступлением. Однако большинство разработчиков подобных решений не принимают мер по фактическому ограничению их использования в преступных целях.
Приложения разработаны таким образом, чтобы оставаться скрытыми и незамеченными даже для опытных пользователей.
Тесты также показали, что некоторые антивирусные программы используют слишком упрощенные формулировки при сообщении об угрозах, например «обнаружено вредоносное ПО» или «обнаружено потенциально нежелательное приложение». Такие оповещения часто не позволяют жертве узнать, что на устройстве установлено программное обеспечение для наблюдения. Ни одно из протестированных решений не использовало надежные каналы уведомлений, такие как отправка сообщений на связанный адрес электронной почты, что могло повысить шансы на своевременное обнаружение проблемы.
В отчете также отмечается, что значительное количество сталкеров представляли собой по сути один и тот же продукт, только переименованный и с разными элементами интерфейса. Было обнаружено, что они имеют общие элементы инфраструктуры: от платежных систем и серверных частей до административных панелей и исполняемых файлов.
По мнению авторов исследования, одних только встроенных мер недостаточно для защиты уязвимых пользователей. Для противодействия этой категории угроз необходимо не только совершенствовать алгоритмы обнаружения, но и внедрить четкие уведомления, прозрачные объяснения риска и инструменты безопасного удаления. Только так производители смогут обеспечить реальную защиту в ситуациях, когда от своевременного вмешательства зависит безопасность людей.
