Бюджетные Android-смартфоны уязвимы: утечки данных и скрытые приложения

По данным исследований, проведенных специалистами в сфере кибербезопасности, многие недорогие Android-устройства содержат предустановленные приложения, которые могут представлять риск для конфиденциальности пользователей. Эти приложения, как правило, не проходят тотальной проверки, в отличие от приложений из Google Play, и могут использоваться как вектор для распространения вредоносного ПО или незаконного сбора личных данных.

Фокус исследования был на устройствах, работающих под управлением Android Go Edition — легкой версии ОС, предназначенной для устройств с низким объемом памяти (до 2 ГБ) и небольшим объемом хранилища. Устройства, подвергнутые анализу, были представлены тремя брендами, предлагающими смартфоны стоимостью менее 100 долларов. Для изучения предустановленных приложений исследователи разработали автоматизированную систему под названием PiPLAnD, которая позволяет извлекать и анализировать APK-файлы с физических устройств.

Утечки личной информации

Одним из ключевых выводов работы стало выявление утечек чувствительной информации. В ходе анализа было установлено, что приложения могут передавать данные, включая код страны мобильной связи (MCC), геолокацию (широту и долготу), идентификаторы IMSI и IMEI, а также данные о конфигурации устройства. Утечки происходят через SharedPreferences, логи устройства, Intents и даже по сети.

Всего в исследовании было выявлено 145 приложений, утечка информации из которых составляет около 9% от всех исследованных предустановленных приложений. Это подтверждает, что проблема не ограничивается отдельными случаями, а представляет собой системный риск для пользователей бюджетных смартфонов.

Подозрительные действия предустановленных приложений

Некоторые из предустановленных приложений способны устанавливать дополнительные программы без ведома пользователя. Для этого они используют разрешение INSTALL_PACKAGES и вызывают методы PackageManager или Runtime. Всего 33 приложения из исследуемой выборки демонстрировали такую скрытую установку.

Кроме того, 79 приложений обладали возможностью доступа к SMS-сообщениям, включая чтение и отправку. Это достигается через использование SEND_SMS и RECEIVE_SMS, а также через broadcast-действие Telephony.SMS_RECEIVED. Дополнительно было выявлено, что 10 приложений могут читать данные из логов устройства (logcat), а 226 — выполнять команды, которые могут быть потенциально опасными.

i

Создано специально для ASECTOR

Концептуальное изображение

Несанкционированный доступ через манифесты

Анализ также выявил проблемы с настройками манифестов приложений. В Android-приложениях могут быть экспортированы компоненты, такие как активности, сервисы, получатели и провайдеры. Экспорт осуществляется либо через атрибут android:exported=«true», либо через объявление intent-filter. Если компонент экспортирован без указания требуемых разрешений, то любое другое приложение может запустить его или получить доступ к данным.

В ходе исследования было установлено, что 16% предустановленных приложений (всего 249 версий) содержат такие уязвимости. Это делает данные пользователей уязвимыми для несанкционированного доступа со стороны третьих лиц.

Уязвимости в бюджетных Android-устройствах: когда доступ к данным становится системным риском

Скрытые мотивы производителей и реальные риски для пользователей

Производители бюджетных Android-устройств сталкиваются с жесткими ограничениями по цене и ресурсам. Чтобы снизить затраты и ускорить производство, они часто предустанавливают минимальный набор приложений, не прошедших полноценную проверку на безопасность. Это позволяет им сэкономить на тестировании и лицензиях, но влечет за собой серьезные последствия для пользователей.

Основная проблема заключается в том, что предустановленные приложения часто обладают широкими разрешениями, которые не соответствуют их функционалу. Например, приложение для погоды может получать доступ к SMS, что кажется абсурдным, но технически возможно. Такие уязвимости становятся лазейками для сбора данных, рекламных компаний или даже киберпреступников.

Важный нюанс: Пользователь, даже не подозревая, что его устройство несет риски, становится частью экосистемы, где его данные могут быть использованы без согласия.

Цепочка последствий: от утечек данных до системного риска

Утечки информации, такие как передача IMSI, IMEI, геолокации и конфигурации устройства, могут быть использованы для идентификации пользователя, отслеживания его местоположения или мониторинга поведения. Это особенно критично в странах с низким уровнем цифровой грамотности, где пользователи не умеют или не хотят настраивать настройки приватности.

Скрытая установка приложений без уведомления пользователя — еще один серьезный риск. Такие действия могут привести к загрузке вредоносного ПО, которое будет работать в фоновом режиме, потреблять ресурсы устройства и собирать данные. В сочетании с доступом к SMS и командам Runtime, это создает условия для полного контроля над устройством со стороны злоумышленника.

Важный нюанс: Это не только технические ошибки — это системная проблема, связанная с экономикой и регулированием рынка бюджетных устройств.

Российский контекст: особые риски для пользователей и бизнеса

В России, где доля бюджетных Android-устройств высока, особенно в регионах, проблема утечки данных становится особенно актуальной. Пользователи часто не осознают, что их устройства могут быть уязвимыми, а бизнес, особенно малый и средний, может сталкиваться с утечками корпоративных данных через устройства сотрудников.

Для российских производителей и дистрибьюторов возникает новый вызов: как снизить риски без существенного увеличения цен. Один из возможных путей — сотрудничество с российскими кибербезопасными организациями для аудита предустановленных приложений. Это может стать новым направлением для отечественного ИТ-сектора.

Важный нюанс: Рост интереса к локализации ПО и проверке предустановленных приложений может стать драйвером для развития отечественной экосистемы кибербезопасности.

Новые угрозы и меры защиты: что происходит в 2025 году

В 2025 году ситуация с киберугрозами для Android-устройств в России стала критической. Активность мобильного трояна Mamont выросла в 36 раз по сравнению с 2024 годом. Он перехватывает SMS и коды подтверждения для взлома аккаунтов и распространяется через поддельные приложения и вредоносные файлы в мессенджерах. Также в пять раз увеличилось число случаев заражения бэкдором Triada, который позволяет злоумышленникам контролировать устройство и скрывать следы атак.

Еще одна угроза — троян RatOn, который крадет финансовые данные, включая банковские и криптокошельки, а затем шифрует информацию на устройстве, блокируя доступ к ней. Такие трояны требуют выкупа, что делает их особенно опасными.

Важно понимать, что распространение подобных угроз связано с загрузкой приложений из непроверенных источников. Приложения, загружаемые вне Google Play, в 50 раз чаще содержат вредоносное ПО. В ответ на это Google планирует внедрить систему проверки идентичности разработчиков, которая будет работать через Android Developer Console. Это поможет ограничить распространение вредоносных приложений.

Кроме того, Google запустил ИИ-систему для выявления мошеннических сообщений и звонков в приложении Messages. Алгоритмы анализируют текст и речь локально на устройстве, предупреждая пользователей о подозрительных контактах. Эта функция разрабатывается с участием финансовых организаций и направлена на защиту от фишинга и психологических манипуляций.

Важный нюанс: Пользователям важно использовать только официальные источники загрузки приложений, включая Google Play. Также стоит активировать функции безопасности, такие как двухфакторная аутентификация и автоматическая проверка IMEI, как это делает, например, платформа Wildberries.