Что такое фейковые программы

После длительного обучения на конкретной кошке приложение MeowTalk распознаёт 13 фраз конкретно этого экземпляра. Учёные предполагают, что у котов нет общевидового языка

Микроскоп, показывающий микробов через камеру смартфона. Ультразвук от комаров через стандартный динамик. Детектор лжи по голосу собеседника. Переводчики собак и кошек на человеческий язык. И так далее, список бесконечный.

Фейковые приложения Google Play — это чудесная смесь из креатива, жадности, невежества и будущего, которое ещё недостаточно распространилось.

Жадные до денег, но креативные разработчики цинично обманывают невежественных пользователей, продавая пустышку под видом конфеты. Бывают и более продвинутые случаи, когда разработчик действительно пытается создать нечто выдающееся, применив машинное обучение.

Переводчики животных

Невежество — одна из причин, почему люди скачивают такие приложения или даже покупают их. Плюс магическое мышление. Представьте, что «волшебная программа» может перевести на любой язык любую фразу вашего собеседника? Магия? Да.

Создание Фейковых программ

Но это правда. Если собеседник — человек, то такая программа есть, она называется Google Translate.

Но если ваш «собеседник» — кошка, собака или человеческий младенец с гораздо более скромным интеллектом и словарным запасом, чем у взрослого сапиенса, то такие программы работают крайне недостоверно, фактически на уровне «бросания монетки». А в случае певчих птиц нормальных переводчиков вовсе не существует. Если таковые появляются — это скорее мошенничество.

Даже когда нейросеть обучается на лексике кошки с учителем, который маркирует, что означают конкретные лексемы и какое поведение проявляет кошка во время их произнесения (именно так обучается программа MeowTalk) — даже такие нейросети показывают ненадёжные результаты.

Обучение MeowTalk на лексемах конкретного кота. Учитель помечает корректный перевод каждой фразы, а затем программа начинает распознавать их самостоятельно

Конечно, обычному пользователю сложно разобраться в этих тонкостях. Он думает, если программа великолепно работает для хомо сапиенса с его огромным словарным запасом от 20 тыс. слов (первоклассник) до 86 тыс. слов (кандидат наук), то почему программа не сработает на какой-нибудь глупой собаке, у которой речь гораздо примитивнее?

Словарный запас у носителей русского языка, источник

Но нет. Это некорректная логика. Так оно не работает. Действительно, собаки и кошки хорошо понимают человеческую речь, при этом их собственный словарный запас ограничен парой сотен лексем, но большинство существующих в Google Play и App Store переводчиков собак и кошек созданы вообще без участия учёных, которые десятилетиями изучают эту тему. Проще говоря, эти приложения больше напоминают антинаучный фейк.

учёба создовать фейковые программы

Микроскопы

Аналогично, если у современных смартфонов типа Find X3 Pro камера с зумом 60х, то чем она отличается от микроскопа? Вот настоящие фотографии, сделанные камерой смартфона в макрорежиме, тут разные материалы и поверхности:

Более того, к смартфону можно подключить мощный микроскоп типа DIPLE с увеличением до 150х. Очень удобно. Например, можно завести собственную колонию бактерий — и наблюдать за их размножением в микроскоп (фото бактерий на iPhone).

Микроскоп DIPLE

Только что вылупившиеся науплии артемии (0,5 мм) из Генуэзского аквариума. Видео записано на смартфоне с DIPLE Red

Отсюда и растут ноги и «приложений микроскопа» в Google Play и App Store. Люди что-то слышали про микроскопы на смартфонах, но не погружались в детали. Вот вам и миллион скачиваний фейковых программ.

Настоящие желания

Чтобы сделать успешное приложение в App Store или Google Play, недостаточно быть хорошим программистом. Нужна ещё идея. Нечто такое, чего ещё никто не реализовал, даже не придумал. Совершенно новаторская оригинальная мысль. Как говорил Джобс, нужно удовлетворить ту потребность, которой не существовало до появления вашего продукта.

Но есть и более простой вариант — удовлетворить потребность, которую не могут удовлетворить другие приложения. По объективным причинам не могут. Например, по законам физики.

Скажем, в 2019 году появилась программа DeepNude, которая раздевает девушек. Наводишь камеру, приложение показывает девушку без одежды. Бред, обман? Да, конечно. Но это реальное приложение на нейросетях, которое честно дорисовывает «недостающие фрагменты» обнажённого женского тела. Его в первую же неделю скачали миллионы человек.

Это же настоящий вау-эффект: показать такое друзьям в школе, сфотографировать одноклассницу… Да что там, школьники мечтали о «красной плёнке» ещё 30 лет назад!

В общем, главное — это идея. Понять скрытые, неосознанные желания человека. Его настоящие желания. И обращаться к ним, в обход верхней коры мозга, отвечающей за логику и самосознание. То есть по сути в обход сознания.

Наверное, ориентироваться лучше на детей и подростков как более открытых новому опыту, более любопытных, доверчивых и склонных к экспериментам.

Что любят простые люди, далёкие от науки и философии? Навскидку:

• деньги
• секс
• алкоголь
• игры
• победа над врагами
• вкусное
• приятное
• интересное
• новое
• веселиться
• общаться
• помогать симпатичным людям и животным
• заводить красивых друзей, генетически перспективную семью, строить коалиции

Для любителей науки и техники, конечно, действует отдельный список «дофаминовых стимуляторов».

Технология, неотличимая от магии

Технический прогресс развивается настолько быстро, что некоторые современные достижения уже неотличимы от магии. Вот достижения компьютерных наук последних лет:

• Сочинение оригинальных творческих текстов (GPT-3)
• Живопись в любом стиле, в том числе рисование оригинальных картин по текстовому описанию
• Игра в любые игры лучше человека. Вы проиграете своему смартфону в го, шахматы, шашки и любую другую игру, какую только сможете придумать
• Распознавание лиц и получение досье из социальных сетей на произвольного человека с улицы по его лицу
• Распознавание голоса, выполнение команд, поддержание простого разговора

Создаётся впечатление, что некоторые разработчики конкретно специализируются на создании фейковых программ. Например, у одной фирмы в портфолио такой наборчик:

• Собачий свисток (ультразвук)
• Телефон Массажер
• Белый Шум: расслабление и сон
• Звуки для младенцев

Детектор лжи

Это скорее шутка, чем умышленный обман, но кто-то может и поверить.

Кстати, многие такие приложения формально заявляются как шутка, чтобы обойти цензуру Google Play и App Store против фейковых приложений. Но на самом деле слово «шутка» или ‘prank’ написано мелким шрифтом где-нибудь в углу, а расчёт именно на то, что найдутся люди, которые реально поверят.

А почему бы и не поверить? Например, большинство населения России верит в теории заговора. Согласно опросу ВЦИОМ от 2014 года, 45% россиян верят, что человечеством управляет мировое правительство — преимущественно из западных политиков и олигархов. При этом среди респондентов с высшим образованием так считал 51%, среди обеспеченных — 53%. Очень популярны мифологические теории о вреде ГМО, о том, что СПИД/ВИЧ не существует, что планетой правят пришельцы, что историки фальсифицировали историю Россию, а также заговор о прививках (что они вредны, но это скрывают).

Если у некоторых людей преобладает конспирологическое мышление в стиле «РенТВ», то им вполне можно продать и собачий свисток, и ультразвук от комаров, и переводчик кошачьего мяукания. По мнению некоторых разработчиков, глупо этим не воспользоваться. Если это не сделаю я, это сделает кто-то другой.

• заблуждения
• магическое мышление
• открытость новому
• переводчики кошек
• микроскоп
• DIPLE
• MeowTalk
• лингвистика
• антикомарин
• детектор лжи
• полиграф
• заговор о прививках
• конспирологическое мышление

• Блог компании ITSumma
• Разработка под Android
• Машинное обучение
• Смартфоны
• Софт

Источник: habr.com

Фейковые приложения из Google Play и App Store

Просторы интернета становятся всё более и более опасным местом для криптовалютчиков: фейковые сайты, вирусные ПО и многое другое поджидает пользователей на пути к заработку. Именно поэтому даже опытным трейдерам не стоит забывать об осторожности. В этом на руку пользователям могла бы помочь деятельность таких магазинов дополнений как «Google Play» и «App Store», которые должны проводить дополнительные проверки качества приложений, прежде чем делать их доступными для скачивания и установки. Однако, и здесь пользователи не смогли полностью обезопасить себя.

Фейковые дополнения

Как оказалось, ни «Google», ни «Apple» все же не могут в полной мере обеспечить безопасность своих пользователей: поддельное ПО, вирусные программы, недобросовестные приложения, — все это имеет место быть даже в их официальных магазинах. По статистике, львиная доля пострадавших от мошеннических программ приходится именно на пользователей «Android».

Наиболее нашумевшим примером вредоносного ПО стало приложение «Poloniex», название которого идентично названию официальной криптовалютной биржи. При этом приложение с самой биржей не имеет ничего общего. В сводке функций дополнения указаны операции по покупке и продаже цифровых валют. В самом интерфейсе программы часто использовались логотип и тематические материалы биржи, однако, стоит немного присмотреться, и тут же становится очевидным, что ошибок в приложении действительно много. Такое количество багов обеспечило приложению рейтинг в одну звезду.

Опасные приложения

Подозрительно относиться к электронным письмам от неизвестных адресатов – это уже норма для осторожных пользователей. Но вот подвоха со стороны официальных магазинов приложений никто не ожидает. Если судить по огромному количеству отзывов на странице приложения, разработчики «Poloniex» промышляли похищение учётных данных пользователей в хранилищах криптовалют.

Кого винить?

Poloniex – не единственный случай мошеннического ПО среди множества программ. Даже по запросу «Poloniex» в Google Play можно найти ещё как минимум 5 вариантов приложения. Все поддельные приложения можно убрать из магазинов созданием официального дополнения платформы Poloniex – отсутствие в сети лицензированного ПО и есть основной причиной такого большого количества мошеннических программ.

К примеру, «Coinbase» и «Bitfinex» уже обезопасили своих пользователей, выпустив приложения для торговли на своих платформах. Также, бирже Poloniex не помешало бы предавать огласке факты, порочащие репутацию самой компании. С 2016 года на официальных страницах биржи в социальных сетях нет негативных новостей и нет никакой информации по поводу тысячей обманутых пользователей. Критика касается и «Google Play» – стоило бы большее внимание уделять проверке качества публикуемых приложений.

Отзывы обманутых пользователей

Не теряйте бдительность

«Предельная бдительность – цена свободы», — так еще сотню лет назад утверждал Венделл Филлипс. Этот тезис актуален сегодня как никогда. Очевидно, что мошенники не прекратят предпринимать попытки обмануть держателей криптовалюты – есть информация о том, что они осваивают уже и телефонные махинации, используя имена таких торговых платформ как «Coinbase» и «Kraken». В ходе телефонного разговора злоумышленники представляются техподдержкой известных бирж.

Факты мошеннических операций известны не только в сфере криптовалютам. Так, относительно недавно множество пользователей установили фейковую версию мессенджера «WhatsApp», скачанную из «Google Play». Также, уже неоднократно удалявшееся из магазина программное обеспечение «Bankbot», которое ворует учётные данные и данные для двухфакторной авторизации, снова и снова появляется в списке приложений магазина Google.

Дважды подумайте прежде чем что-то выбирать

Настоятельно рекомендуется использовать ссылки на мобильные приложения только из официальных источников – экономия 20 минут своего времени не стоит потерянного состояния. Недавно одна организация, специализирующаяся в вопросах безопасности, провела собственное исследование – были проверены 90 наиболее популярных биржевых приложений для «Android». По итогу было выявлено, что у 94% приложений устаревшее шифрование, у 66% оно вообще отсутствует, а в 44% использовались пароли, закодированные в простом тексте.

Конечно, «Apple» тоже не идеальна в плане добросовестного отбора приложений, но большинство вредоносного ПО распространяется именно по сети Android. Исходя из всей этой информации, стоит прийти к выводу, что торговлю стоит осуществлять с помощью компьютера, а мелкие гаджеты оставить для отслеживания котировок.

Ранее, мы предупреждали:
90% мобильных кошельков находятся под угрозой взлома!

Хотите зарабатывать на крипте? Подписывайтесь на наши Telegram каналы!

Источник: bitstat.top

Как защититься от вредоносных и фейковых мобильных приложений

Фейковые банковские приложения у всех на слуху. Но являются ли они единственным видом поддельных приложений? Какие риски порождают фейковые приложения и где их можно скачать? Каким образом они работают и как от них можно защититься? Каких платформ касается угроза — только Android или iOS тоже?

Подвержены ли ей только обладатели смартфонов?

1. Введение
2. Основные способы подделки приложений

1. 2.1. Имитация популярных программ
2. 2.2. Имитация запрещённых приложений
3. 2.3. Внешние загрузки

1. 3.1. Легитимные приложения с нелегитимной активностью
2. 3.2. Использование уязвимостей приложений

Введение

По статистике, в мире почти 4 млрд пользователей смартфонов — практически 50 % всего населения Земли. Революция в мире мобильных устройств привела к тому, что телефон потерял основную функцию средства для совершения звонков и отправки коротких сообщений и стал инструментом для развлечений, учёбы, ведения бизнеса и многого другого.

Для реализации этих функций используются мобильные приложения, доступные в специализированных магазинах, таких как Apple Store или Google Play.

Популярность мобильных приложений растёт из года в год: за период с 2016 по 2020 гг. количество скачиваний мобильных приложений за квартал увеличилось более чем в полтора раза: с 20 млрд до 36 млрд. Всего же за 2020 г. было произведено более 204 млрд загрузок.

Растёт и количество мобильных приложений в магазинах. По статистике, каждый месяц выпускается около 100 000 приложений для Google Play и 30 000 приложений для Apple Store.

Естественно, там, где используются информационные технологии, да ещё и в таком массовом масштабе, обитает и немало кибермошенников. Их целью является хранимая на телефонах информация, которая может быть как личной (фотографии, копии документов, данные банковских карт), так и рабочей; утечка таких сведений может стать крайне неприятной для их обладателя. Злоумышленникам не надо пытаться использовать приёмы социальной инженерии и другие техники для кражи информации. Всё намного проще: надо только, чтобы пользователь загрузил себе на устройство поддельное приложение, которое будет выдавать себя за настоящее и выполнять вредоносные функции. Впрочем, подобные программы занимаются не только кражей данных, но также майнингом криптовалют, мошенничеством с рекламой и т. д.

Есть и другой путь: создать легитимное приложение, которое также будет похищать необходимую информацию и передавать её киберпреступникам.

Конечно, Google Play и Apple Store не смотрят безучастно на происходящее и активно борются с подобными программами: приложения проверяются в ручном и автоматическом режимах перед публикацией, а также периодически в дальнейшем, но и этого не хватает для стопроцентного отсева мошеннических приложений.

Основные способы подделки приложений

Имитация популярных программ

Чем приложение популярнее, тем больше его фейковых версий будет создано. При реализации этого способа упор делается на человеческую психологию. Многие люди хотят быть в тренде и иметь на своих телефонах самые популярные приложения.

Этим и пользуются мошенники: они создают клоны подобных программ, но с «побочными» функциями: перехватом вводимого текста и данных банковских карт, снятием скриншотов и т. д. Визуально они мало чем отличаются от легитимных: те же иконки, наименования, да и название производителя может быть похоже на настоящее, что показывает история о WhatsApp и его фейковом аналоге. Мало того, подделываются даже сами магазины приложений! Например, в 2014 году была обнаружена фейковая копия магазина Google Play.

Рисунок 1. Фейковый процесс Google Play Store в диспетчере задач рядом с подлинным

Рисунок 2. Фейковые копии приложения WhatsApp

При этом злоумышленники не ограничиваются только такими популярными приложениями, как WhatsApp и другие. Киберпреступники чётко следуют тенденциям происходящего в обществе. Растёт популярность криптовалют — и появляется приложение, которое выдаёт себя за известную программу для обмена криптовалютой. Появилась COVID-19 — и поддельные приложения для «борьбы с болезнью» не заставили себя ждать. Приближающиеся или проходящие крупные спортивные, культурные, политические мероприятия тоже являются поводами для выпуска множества поддельных программ.

Имитация запрещённых приложений

Не секрет, что во многих странах по разным причинам (религиозным, этическим и т. д.) запрещены те или иные приложения. Далеко за примерами ходить не надо: в России заблокирована социальная сеть LinkedIn, в Индии — TikTok. Мошенники подделывают запрещённое приложение и публикуют его в магазине с похожим названием и уверением в том, что оно действительно работает как оригинальное. Так, после запрета TikTok в Индии весьма быстро появилось приложение «TikTok Pro», но уже от другого производителя и с совсем другими функциями.

Рисунок 3. СМС-сообщение со ссылкой на фейковый TikTok Pro

Злоумышленники рассчитывают на тот же фактор человеческой психологии, когда человек хочет иметь у себя на телефоне то, что популярно во всём мире, и готов ради этого ставить приложения из любого источника, не озадачиваясь вопросами информационной безопасности.

Внешние загрузки

Приложения можно установить не только из магазина, но также и с любого сайта: достаточно скачать файл определённого формата и использовать его для инсталляции. Этот способ доступен для телефонов на базе как Android, так и iOS. И здесь перед злоумышленниками открывается очень большой простор для действий: если магазины приложений регулярно проводят проверки размещённого в них контента, то владельцы сайтов этим не занимаются.

К потребности в подобных загрузках приводят такие факторы, как запрет приложений определённых категорий в соответствии с законодательством (казино, тотализатор, порнография и т. д.), маркетинговая активность («наше приложение вот-вот появится в магазине, но пока не прошло соответствующие формальности») и некоторые другие.

Также злоумышленники могут атаковать легитимные сайты с целью подмены безопасных приложений на вредоносные или создавать свои копии этих сайтов, выкладывая туда опасные программы.

Угрозы со стороны легитимных приложений

Легитимные приложения с нелегитимной активностью

Ещё один способ обмануть пользователя с целью получения его данных — создать легитимное приложение, которое начнёт осуществлять свою нежелательную активность спустя некоторое время. Примером может служить Barcode Scanner, который долгое время позиционировался как удобное приложение для сканирования штрих-кодов, а затем внезапно начал настойчиво показывать рекламу.

Использование уязвимостей приложений

Не всегда утечка данных из мобильных устройств может происходить по причине установки фейковой программы. Злоумышленники могут использовать уязвимости официальных приложений. Так, из-за ошибки в коде приложения Facebook могла быть реализована утечка данных 50 млн пользователей.

Не остаётся без внимания злоумышленников и архитектура приложений. Используемые хранилища, алгоритмы шифрования, протоколы передачи данных — всё это исследуется хакерами для дальнейшего использования во вред пользователям.

Основные способы защиты от фейковых приложений

Каждый пользователь мобильного устройства сам несёт ответственность за его безопасное использование и в силах сократить площадь атаки на нём. И для этого даже необязательно обладать развитыми навыками в информационных технологиях или информационной безопасности.

Прежде всего необходимо закрепить основное правило: скачивать приложения только из официальных магазинов. Скачивание приложений или установочных файлов из других источников создаёт очень большой риск.

При скачивании приложения из официального магазина необходимо проверять производителя, рейтинг приложения и количество установок. Если есть сомнения, дополнительную информацию могут дать комментарии пользователей, установивших приложение ранее.

Для установки официального мобильного приложения можно перейти в магазин по ссылке с сайта производителя этой программы. Тогда не потребуется искать приложение по его названию и риск установки фейка будет сведён к минимуму.

Ещё один способ убедиться в легитимности приложения — связаться с его производителем и уточнить интересующие вас вопросы.

Следует избегать приложений, которые заведомо запрещены на территории страны — с вероятностью 99,9 % это будет поддельная программа, которая займётся сбором ваших личных данных, например.

Для установленного приложения необходимо контролировать запрошенные доступы. Например, калькулятор не должен запрашивать доступ к галерее или контактам. Кроме контроля предоставляемых доступов во время установки приложения, необходимо регулярно проводить ревизию ранее предоставленных доступов. Также стоит удалять неиспользуемые приложения. Это позволит не только минимизировать риски утечки информации, но и очистить память телефона.

Нельзя забывать и об элементарных правилах кибергигиены. На телефоне должен быть установлен пароль и его нельзя оставлять в общественных местах без присмотра — тогда у злоумышленников будет меньше возможностей для установки приложений без ведома хозяина гаджета.

Полезно не подключаться к сетям Wi-Fi в общественных местах: они могут быть взломаны злоумышленниками, и тогда передаваемые между телефоном и сервером данные могут быть перехвачены либо модифицированы.

Не забывайте своевременно обновлять приложения и операционную систему мобильного устройства — это позволит своевременно закрыть известные уязвимости.

Стоит установить отдельное антивирусное программное обеспечение, даже в том случае, если на телефоне есть, например, банковские приложения с антивирусом «на борту».

Наконец, рекомендуется не осуществлять запрещённые производителем манипуляции с телефоном — например, не «рутовать» его.

Рекомендации для разработчиков приложений

Для того чтобы пользователь не пострадал от действий легитимного приложения, разработчики также должны соблюдать ряд правил.

Одним из первых шагов должно стать внедрение системы управления информационной безопасностью в компании — разработчике приложений. Это позволит внедрить лучшие практики с целью защиты среды разработки и корпоративной сети, снижения вероятности утечки исходного кода приложения через различные каналы связи и т. д.

Другим шагом должно быть внедрение концепции безопасной разработки SDL. Это позволит минимизировать количество ошибок и уязвимостей на этапе проектирования и разработки приложения. Также необходимо применение специализированных инструментов, например сканеров кода.

Следует постоянно повышать осведомлённость разработчиков приложений по вопросам современных тенденций в части киберугроз. Помогут прогнозы Gartner, отчёты вендоров и интеграторов и т. д.

Перед публикацией приложения в магазинах рекомендуется провести независимый анализ защищённости. Внешняя экспертиза поможет выявить новые угрозы.

Необходимо регулярно обновлять приложения, не только добавляя пользовательские функции, но и исправляя программу при появлении информации об уязвимостях в ней и о методах эксплуатации этих уязвимостей.

В случае если установочный файл приложения размещён на сайте, а не в магазине, необходимо регулярно проверять его на предмет нелегитимной модификации.

Выводы

Приложения вошли в нашу жизнь всерьёз и надолго. И это касается не только мобильных программ, но и приложений для умных телевизоров и прочих гаджетов. Мошенничество, связанное с подобным «софтом», будет развиваться и приобретать новые направления. Борьба с этим видом преступности должна вестись всеми действующими лицами: разработчиками, владельцами магазинов приложений и, конечно же, самими пользователями. Именно совместные усилия помогут минимизировать риск использования подделок с последующей потерей данных и денежных средств пользователей.

Источник: www.anti-malware.ru