Вибухове зростання мобільних додатків на основі ШІ створило ідеальне живильне середовище для кіберзлочинців, які використовують довіру до бренду.
Дослідники безпеки в Appknox виявили тривожну тенденцію: підроблені клони ChatGPT, DALL·E і WhatsApp поширюються в альтернативних магазинах додатків, використовуючи знайомі бренди для обману користувачів і компрометації корпоративних пристроїв.
Відповідно до звіту SensorTower State of Mobile Report за 2025 рік, мобільні програми, пов’язані зі штучним інтелектом, становили 13% усіх глобальних завантажень програм у 2024 році, загалом 17 мільярдів завантажень. Це вибухове впровадження зробило інструменти штучного інтелекту привабливими цілями для зловмисників, які шукають як можливості монетизації, так і вектори крадіжки даних.
Спектр загроз варіюється від опортуністичних рекламних програм до повномасштабної інфраструктури шпигунських програм. Аналіз Appknox виявив три різні моделі атак. Перша категорія включає імітаторів, керованих рекламою, як-от додаток DALL·E 3 AI Image Generator на Aptoide.
Незважаючи на заяву про приналежність до OpenAI через іменування пакетів (com.openai.dalle3umagic) та імітацію інтерфейсу користувача, програма не містить нульової функціональності ШІ.
Натомість він спрямовує дані користувачів виключно до рекламних мереж, зокрема Adjust, AppsFlyer, Unity Ads і Bigo Ads. Аналіз мережевого трафіку виявив відсутність законних викликів API, лише рекламну інфраструктуру, призначену для монетизації уваги користувачів шляхом обману.
Критична загроза: троянські клони
Набагато небезпечнішими є завантажені зловмисним програмним забезпеченням клони, такі як WhatsApp Plus, які маскуються під вдосконалені версії месенджера.
У цій програмі використовуються складні методи обфускації, зокрема пакувальник Ijiami, шкідливий інструмент, який зазвичай використовується для шифрування та приховування шкідливого коду.
APK підписаний шахрайськими сертифікатами (CN=bwugtq, O=twzqicusmq, C=DE), а не законними ключами Meta, що негайно сигналізує про компрометацію.
Після інсталяції WhatsApp Plus запитує широкі системні дозволи: доступ до SMS і журналу викликів, отримання бази даних контактів, перерахування облікових записів пристрою та можливості обміну повідомленнями.
Ця комбінація дозволів дозволяє зловмисникам перехоплювати одноразові коди автентифікації, очищати адресні книги та видавати себе за жертви на платформах зв’язку.
Вбудовані рідні бібліотеки, такі як libijm-emulator.so, підтримують постійне фонове виконання, забезпечуючи роботу зловмисного програмного забезпечення навіть після закриття програми.
Мережева криміналістика виявила методи фронтінгу домену, які маскують зловмисний трафік за законними кінцевими точками AWS і Google Cloud, імітуючи тактику складних сімейств шпигунського програмного забезпечення, які раніше приписували Triout і AndroRAT.
Виявлення VirusTotal і MalwareBazaar підтверджують, що APK є трояном/шпигунським програмним забезпеченням із можливостями, які включають перехоплення SMS і викрадення облікового запису.
Для корпоративного середовища наслідки катастрофічні. Зламані пристрої дозволяють зловмисникам перехоплювати банківські коди підтвердження, реєструвати шахрайські облікові записи, використовуючи особи жертв, і проникати в корпоративну інфраструктуру.
Такі порушення порушують стандарти GDPR, HIPAA та PCI-DSS, що потенційно може призвести до багатомільйонних штрафів і серйозної шкоди репутації. Дані IBM за 2023 рік свідчать про те, що середні витрати на порушення сягають 4,45 мільйона доларів США, що значно зростає, коли відбуваються порушення нормативних документів.
Дослідники Appknox підкреслюють, що традиційні механізми перевірки додатків не можуть запобігти загрозам після запуску. Безперервний моніторинг магазину програм, перевірка сертифікатів і автоматичне сканування вразливостей тепер є важливими вимогами безпеки.
Організації повинні запровадити виявлення в режимі реального часу списків самозванців у глобальних магазинах програм, навчаючи користувачів завантажувати виключно з офіційних платформ і перевіряти облікові дані видавця.
Ландшафт загроз, що розвивається, демонструє, що заходи безпеки не можуть припинитися після розгортання; вони повинні бути пильними протягом усього життєвого циклу програми.
Знайдіть цю історію цікавою! Слідкуйте за нами в Google News, LinkedIn і X, щоб отримувати більше миттєвих оновлень
