Шпионы под видом Telegram и женских календарей. Как распознать приложение, которое крадет и сливает ваши данные

Самые небезопасные категории приложений

О сливе информации на сторону много говорят в контексте, например, Telegram, а если точнее — его заменителях, идентичных натуральным. «Телегу», позиционирующую себя как заменитель Telegram, уже успели признать шпионским продуктом и оспорить этот статус. Аналогичный Nekogram уличили в отправке номеров телефонов и ID пользователей стороннему боту.

Тут, впрочем, можно было бы заподозрить подвох уже по тому, что это неофициальные клиенты, клоны. Но иногда опасность для пользователей таится там, где они совсем этого не ожидают.

Обычное приложение, которое следит за здоровьем, может шпионить за вашим поведением и передавать чувствительную информацию о вас и ваших маршрутах и привычках на сторону. Якобы бесплатные сервисы без рекламы тоже должны себя монетизировать — и приторговывают базами данных пользователей. Таких приложений гораздо больше, чем кажется на первый взгляд.

Чаще всего опасные приложения можно встретить в таких категориях:

Альтернативные/неофициальные клиенты мессенджеров

Старший специалист по анализу защищенности Singleton Security Матвей Сердюков подчеркнул, что здесь может идти речь и об откровенно вредоносном софте, который только маскируется под полезное приложение — «бесплатную» версию популярных платных или недоступных в России программ.

Но правда в том, что вредоносный софт может скрываться за чем угодно.

Эксперт по кибербезопасности в «Лаборатории Касперского» Дмитрий Калинин рассказал, что, например, троянец SparkCat, предназначенный для кражи данных со смартфонов, распространялся под видом мессенджеров, ИИ-ассистентов, приложений для доставки еды и другого на первый взгляд безопасного софта. Его фиксировали и в App Store, и в Google Play. А шпионское ПО Mandrake маскировалось под файловые менеджеры, PDF-сканеры и другие приложения.

Бесплатные VPN-сервисы, оптимизаторы памяти, ускорители и дешевые мобильные игры

Технический директор компании «Стахановец», эксперт в области ИТ и ИБ Сергей Щербаков объяснил: разработчики таких приложений часто экономят на архитектуре безопасности или изначально создают продукт для сбора пользовательской информации.

Например, неоднократно в центре скандалов со сливом оказывались популярные сторонние клавиатуры вроде Ai.type и различные приложения-фонарики, запрашивающие необоснованный доступ к контактам и геолокации.

Приложения для здоровья, фитнеса, женского цикла и финтех

Чаще всего проблемы возникают у приложений, которые собирают много чувствительных данных и при этом зависят от внешних сервисов.

Приложения про здоровье и цикл — среди таких. Например, были случаи утечек из приложений GoodRx, Premom и Flo, которые собирали чувствительные данные о здоровье.

Чем это грозит: такие данные сами по себе чаще всего не представляют интереса для преступников, но достаточно важны и интимны для пользователей. Всплытие нюансов здоровья, цикла и прочего в общественном поле может стать предметом обсуждения. Например, ни одной женщине не будет приятно, если посреди дискуссии ее мнение обесценят фразой «Да у нее ПМС, я календарь видел!».

Сервисы знакомств, родительского контроля и скрытого наблюдения

Приложения mSpy, SpyX, Cocospy, Spyic уже ловили на том, что они не только собирали массивы наблюдений за пользователем, но и передавали их третьим лицам.

Или даже собирают информацию о вашем доме и ваших детях, их маршрутах и поведении в Сети, чем потом могут воспользоваться взрослые извращенцы или злоумышленники для их обмана.

Онлайн-магазины, сервисы доставки еды, онлайн-аптеки и маркетплейсы

Самые распространенные и кажущиеся безопасными приложения тоже далеко не так просты. Вдумайтесь: в них хранятся ваши личные данные пользователя, номера ваших карт, история ваших покупок.

Утечки из таких приложений опасны именно потому, что там хранится максимально подробный профиль человека: по частым заказам еды в одну и ту же точку можно узнать место проживания или работы; по истории заказов в онлайн-аптеке можно выяснить состояние здоровья; по покупкам вещей — уровень благосостояния — и т. д.

Приложения, созданные с помощью ИИ

Относительно новая и одна из самых неочевидных категорий опасных приложений — те, что созданы с помощью вайбкодинга, сказала руководитель отдела разработки NGR Softlab Маргарита Гавриленко.

Один из возможных сценариев, как такие приложения могут слить ваши данные на сторону, — им просто забыли прописать в задаче, что этого делать не нужно, а ИИ не подумал о безопасности самостоятельно. Тогда он может для того, чтобы ответить на запрос пользователя, индексировать его данные для поисковых систем или отправить на сервер без шифрования.

О других рисках вайбкодинга мы писали здесь.

Программы удаленного доступа и автопереключения раскладки

Руководитель отдела аудита и контроля ИТ-инфраструктуры «Девелоники» FabricaONE. AI Андрей Кайгородов назвал приложения удаленного доступа и так называемые свитчеры, использующиеся для автоматического переключения раскладки клавиатуры, «легальными шпионами»: любая уязвимость в них может дать злоумышленникам контроль над вводом, включая пароли.

Например, эксперты предупреждали, что Punto Switcher превращается в легального кейлоггера — клавиатурного шпиона — и может быть использован злоумышленниками. Впрочем, известных утечек из-за этого приложения не было.

А вот приложение AnyDesk, которое позволяет полностью управлять компьютером на расстоянии, — тот случай, когда предпринимаемые меры безопасности оказались несопоставимы с объемом и чувствительностью собираемой информации. В 2024 году оно пережило хакерскую атаку, в результате которой украли исходный код, приватные ключи подписи кода. А после этого в продаже в даркнете появились более 18 тысяч учетных данных клиентов AnyDesk.

Бесплатные приложения

Отдельной графой выделим приложения, которые достаются вам бесплатно, когда на рынке в этой же сфере весьма успешно существуют аналогичные платные сервисы. Бесплатные приложения не всегда означают «небезопасные», но часто именно так и выходит.

Нередки случаи, когда это не баг, а «фича», вернее бизнес-модель приложения — данные легально передаются партнерам или рекламным сетям без прозрачности для пользователя.

Поэтому опасно не только бесплатное, но и любое приложение, которое просит слишком много и объясняет это слишком расплывчато.

И если у приложения есть проблемы со слабой аутентификацией, уязвимостью API или неправильными настройками облака, это приведет к проблемам.

Классический пример — после выхода популярного DeepSeek энтузиасты почти сразу нашли базу данных проекта, которая без всякой авторизации и шифрования лежала в открытом доступе со всеми диалогами пользователей, напомнил начальник отдела безопасности «СерчИнформ» Алексей Дрозд.

Как заметить угрозу и сохранить свои данные в безопасности

Полностью гарантировать безопасность нельзя, но есть простые «красные флаги»:

— приложение запрашивает слишком много разрешений для доступа к данным и устройствам;

• повышенная фоновая активность, даже когда устройство лежит без дела;
• неизвестные или недоверенные разработчики;
• странное поведение приложения или запуск других приложений без вашего участия.

Итак, подробнее про главные признаки опасности и инструменты, которые позволяют сильно снизить риски.

Приложение запрашивает лишние разрешения

Пользователя должны насторожить очень простые вещи: приложение просит слишком много разрешений, которые однозначно не нужны для его работы.

Ведет избыточную фоновую активность

Скрытую угрозу, по словам эксперта, можно вычислить по быстрому разряду батареи, перегреву устройства и высокому потреблению интернет-трафика в фоновом режиме.

Опасные приложения часто продолжают работать в фоне даже после того, как вы их закрыли: тайно запускаются, активно используют процессор и оперативную память, заставляют кулер работать на повышенных оборотах, а иногда и перегружают видеокарту (GPU).

У приложения неизвестный разработчик

Насторожить должно малое количество информации о разработчике, в том числе отсутствие у него сайта и регистрации юрлица. Особенно опасны фирмы-однодневки, которые выходят на маркетплейсы с одним продуктом и живут, пока их не забанят по жалобам пользователей.

Маркетплейсы борются с этим, проверяя разработчиков, но даже их проверки при желании можно обойти.

Приложение ведет себя странно

Если приложение начинает вести себя странно — у него слишком навязчивая реклама, он самопроизвольно открывает браузер после запуска, это тоже повод задуматься, а стоит ли вообще доверять этому сервису.

Как проверить приложение

Можно самостоятельно проверить приложение на предмет нарушения конфиденциальности и чрезмерного сбора данных.

Сервисы Have I Been Pwned или Firefox Monitor покажут, попадали ли аккаунты в известные утечки. Правда, вопрос конфиденциальности таких проверок остается открытым.

Полностью безопасных приложений почти не бывает — от взломов не застрахован никто. Особенно рискованно устанавливать бесплатные VPN, приложения для здоровья и женского цикла, программы родительского контроля, инструменты удаленного доступа и неофициальные клиенты мессенджеров. Часто «бесплатность» оплачивается вашими данными.

Напрячься стоит, если:

• приложение запрашивает лишние разрешения (фонарик просит контакты или микрофон);
• быстро разряжается батарея, устройство греется и активно «ест» трафик в фоне;
• приложение ведет себя странно (навязчивая реклама, самопроизвольное открытие браузера).

Самое надежное правило простое: ставьте как можно меньше приложений, скачивайте их только из официальных магазинов и внимательно читайте, какие разрешения они запрашивают. Ваша цифровая безопасность начинается с вашей бдительности.