Мошенники создают клоны приложений после удаления сервисов из Google Play

Недоступность популярных приложений в официальных магазинах заставляет пользователей искать обходные пути, а мошенников - быстро создавать фальшивые сайты и поддельные версии программ. Эксперты указывают, что опасные сервисы чаще всего распространяются через чаты в мессенджерах.

Подделка приложений - один из самых распространенных сценариев атак на пользователей мобильных сервисов. Основным методом здесь остается социальная инженерия. В 2025 году она применялась более чем в 90% успешных атак такого рода, рассказали "РГ" в Positive Technologies.

После удаления известных российских приложений из Google Play возрастают риски появления новых мошеннических схем. Так, злоумышленники могут рассылать в чаты предложения бесплатно загрузить обновление сервиса. В компании отмечают, что главным каналом распространения все чаще становятся мессенджеры. В России на них пришлось более половины подобных атак. Если приложение скачано из официального магазина приложений или с официального сайта разработчика (например, для Android это по-прежнему актуальный способ), то риск столкнуться с подделкой минимален.

"Проблема в том, что в эпоху ИИ создать практически идеальный клон приложения стало значительно проще. При этом большинство разработчиков пока не защищают свои приложения от подобных атак. В результате пользователю во время работы с приложением зачастую практически невозможно отличить качественный клон от оригинала", - говорит руководитель разработки PT MAZE Николай Анисеня.

Самая распространенная и одновременно самая опасная ошибка - искать приложения в недоверенных источниках: сторонних магазинах приложений, на форумах или в Telegram-каналах, где распространяются взломанные версии программ.

При использовании Android эксперт советует устанавливать приложения из RuStore или с официального сайта разработчика. Если приложение нужно установить на iPhone, безопаснее обратиться в службу поддержки разработчика и запросить инструкцию по установке через официальные каналы, например через веб-версию сервиса.

В пресс-службе RuStore рассказали, что все приложения в магазине проходят двухэтапную проверку на этапе загрузки: автоматическое сканирование и ручную модерацию. Доля заблокированных приложений, не соответствующих требованиям безопасности, составляет 0,1%. Также работает постмодерация. Это исключает попадание опасных приложений в каталог.

"Мы следим и за внешним периметром - выявляем фишинговые сайты и поддельные приложения. Например, в прошлом году совместно с F6 заблокировали более 1600 мошеннических доменов с вредоносным ПО", - добавляют в пресс-службе.

При этом многие пользователи по-прежнему устанавливают приложения из непроверенных источников, подвергая риску свои данные и устройства. В компании рассказали, что более половины россиян хотя бы раз скачивали приложения из сомнительных источников в сети. За такими сервисами часто скрываются вирусы или шпионское ПО.

Научный сотрудник факультета безопасности информационных технологий ИТМО Николай Еритенко объясняет, что подделку можно заподозрить по нескольким признакам. Например, неофициальный домен, где распространяется "решение", URL с лишними символами, дефисами, другой доменной зоной. Также нужно обратить внимание на то, что приложение скачивается не через App Store, Google Play или RuStore, а в качестве .apk/.ipa файла с сайта или через сторонний сервис.

Еще на подделку указывает множество орфографических ошибок, низкое качество логотипа, отсутствие отзывов или подозрительно однотипные "пятизвездочные" отзывы. Также опасные сервисы просят разрешения, не связанные с функцией приложения.

К частым ошибкам пользователя эксперт относит: скачивание .apk или .ipa с первого сайта из поисковой выдачи, не проверяя ресурс. Отключение встроенной защиты устройства ("неизвестные источники", Gatekeeper), чтобы поставить приложение и игнорирование предупреждения системы безопасности.

Кроме того, люди часто переходят по ссылкам из рекламы в соцсетях или мессенджерах вместо официального сайта разработчика и вводят логин и пароль от основного аккаунта в форму на незнакомом сайте.