Швидке зростання мобільних застосунків на базі штучного інтелекту створило сприятливі умови для кіберзлочинців, які використовують довіру до відомих брендів задля власної вигоди.
Експерти з кібербезпеки компанії Appknox виявили тривожну тенденцію: підроблені клони популярних сервісів ChatGPT, DALL·E та WhatsApp активно поширюються серед альтернативних магазинів застосунків. Зловмисники використовують впізнаваний брендинг, щоб обманути користувачів і забезпечити проникнення шкідливого програмного забезпечення на корпоративні пристрої.
Згідно з даними звіту SensorTower «Стан мобільного ринку 2025 року», у 2024 році мобільні застосунки, пов’язані зі штучним інтелектом, становили 13% від загальної кількості завантажень у світі, що становить 17 мільярдів скачувань. Такий стрімкий зріст популярності робить інструменти штучного інтелекту привабливою ціллю для атак, спрямованих на отримання прибутку та викрадення конфіденційних даних.
Спектр загроз включає різні рівні ризиків:
1. Опортуністичний рекламний софт (adware);
2. Повноцінна шпигунська інфраструктура (spyware).
Аналіз фахівців Appknox виокремив три основні схеми атак. Перша категорія – це маркетингові підробки, що функціонують на основі реклами. Наприклад, застосунок DALL·E 3 AI Image Generator, доступний у магазині Aptoide, заявляє про свою афіліацію з OpenAI через ім’я пакунка (com.openai.dalle3umagic) та схожий інтерфейс користувача. Однак він повністю позбавлений функціоналу штучного інтелекту. Насправді додаток передає дані користувачів виключно рекламним мережам, таким як Adjust, AppsFlyer, Unity Ads і Bigo Ads. Аналіз мережевого трафіку не виявив жодних запитів до легітимних API, лише інфраструктуру для монетизації уваги користувачів через обман.
Набагато вагомішу загрозу становлять шкідливі клони з вбудованими троянами, наприклад WhatsApp Plus, що маскуються під покращену версію месенджера. Цей застосунок застосовує складні методи обфускації коду, зокрема використання пакувальника Ijiami — інструменту для шифрування та приховування шкідливого коду. Підписаний APK-файл містить фальшиві сертифікати (CN=bwugtq, O=twzqicusmq, C=DE), які замінюють офіційні ключі Meta, що одразу свідчить про компрометацію.
Під час інсталяції WhatsApp Plus вимагає розширені системні дозволи, серед яких:
– Доступ до SMS і журналу дзвінків;
– Отримання бази контактів;
– Перерахунок акаунтів пристрою;
– Надсилання повідомлень.
Цей набір дозволів дозволяє зловмисникам перехоплювати одноразові коди аутентифікації, збирати адресні книги та імітувати користувачів на різних комунікаційних платформах. Вбудовані нативні бібліотеки, зокрема libijm-emulator.so, забезпечують роботу шкідливого коду у фоновому режимі навіть після закриття застосунка.
Мережевий аналіз показав використання техніки domain fronting, яка маскує шкідливий трафік, приховуючи його за легітимними серверами AWS та Google Cloud. Такий підхід нагадує тактики складних шпигунських програм, раніше пов’язаних із сімействами Triout і AndroRAT. Виявлення на платформах VirusTotal і MalwareBazaar підтверджують, що APK-файл є трояном/шпигунським програмним забезпеченням з можливостями перехоплення SMS та захоплення акаунтів.
Для корпоративного сектору наслідки таких заражень є катастрофічними:
– Зловмисники отримують можливість перехоплювати коди банківської верифікації;
– Реєструвати фальшиві акаунти від імені жертв;
– Проникати у внутрішні корпоративні системи.
Такі інциденти суперечать вимогам регуляторних стандартів GDPR, HIPAA і PCI-DSS, що може призвести до багатомільйонних штрафів та суттєвого шкоду для репутації компаній. Дані IBM за 2023 рік свідчать, що середні витрати на усунення порушень безпеки сягають $4,45 мільйона й значно зростають у разі порушення нормативних вимог.
Дослідники Appknox наголошують на тому, що звичайні методи перевірки додатків не здатні запобігти загрозам, які виникають після запуску. Крайньо необхідними є:
– Безперервний моніторинг магазинів застосунків;
– Перевірка дійсності сертифікатів;
– Автоматизоване сканування на вразливості.
Організації мають впроваджувати системи миттєвого виявлення шахрайських оголошень у глобальних магазинах додатків, а також навчати користувачів завантажувати програми виключно з офіційних джерел та перевіряти відомості про видавців.
Поточний розвиток кіберзагроз свідчить про те, що заходи безпеки не можуть завершуватися на етапі розгортання застосунку — вони повинні залишатися активними та ефективними протягом усього життєвого циклу програмного забезпечення.
Слідкуйте за нашими оновленнями на Google News, LinkedIn та X для отримання найсвіжішої інформації.
