Tiskové zprávy

Výzkum Avastu: TikTokem se šíří podvodné aplikace pro Android a iOS

Nebezpečné účty v aplikaci TikTok propagují podvodné aplikace obsahující adware. Nejčastěji jde o hry „Shock Roulette“ nebo aplikace s tapetami


Praha, 22. září 2020 Avast (LSE:AVST), globální lídr v oblasti digitálního zabezpečení a ochrany soukromí, objevil sedm podvodných aplikací, jež obsahují adware a jsou dostupné v obchodech Google Play a Apple App Store. Na podvod Avast jako první upozornila fanynka vzdělávacího projektu Buď safe online, když nahlásila profil na TikToku, který podezřelou aplikaci propagoval. 

„Na instagramovém profilu projektu Buď safe online každý týden vydáváme takzvané bezpečnostní novinky a snažíme se srozumitelným způsobem děti upozornit na aktuální rizika na internetu. Samy děti nám každý den posílají hrozby, na které narazily a ověřují si u nás, zda se jedná o podvod, falešný účet, hoax nebo dokonce škodlivou aplikaci, jako v tomto případě. My pak ve spolupráci s našimi odborníky hrozby prověřujeme a pokud se nebezpečí potvrdí, informujeme naši komunitu,“ vysvětluje odbornice na online bezpečnost Avastu a ambasadorka projektu Buď safe online Julia Szymańska. „Jsme nesmírně hrdí na to, že se nám povedlo vybudovat tuto skvělou fanouškovskou základnu kde se děti proaktivně zapojují a snaží nahlašovat online hrozby, aby ochránily nejen sebe, ale i ostatní.“

Aplikace se nejčastěji vydávají za jednoduché hry, jako je např. elektrická ruleta, která zařízení rozvibruje, aplikace s tapetami nebo stahovače hudby. Uživatelům velmi agresivním způsobem zobrazují reklamy nebo jim naúčtují peníze v rozmezí od dvou do deseti dolarů. Některé z aplikací spadají do skupiny HiddenAds, kterou Avast odhalil letos v létě. Jde o typ trojského koně, jenž se vydává za bezpečnou a užitečnou aplikaci. Uživatele však zaplavuje vtíravými reklamami zvenčí a navíc skryje původní ikonu aplikace, aby bylo těžší odhalit, odkud reklamy skutečně přichází.

Všechny odhalené podvodné aplikace mají v obchodech více než 2,4 miliony stažení a většinou jsou hodnoceny nízkými známkami od 1,3 do 3 bodů. Jejich autorům se tak podle firmy Sensor Tower, jež zpracovává data z obchodů s mobilními aplikacemi, podařilo vydělat přes 500 tisíc dolarů. 

„Objevené podvodné aplikace porušují podmínky obchodů Google i Apple tím, že podávají zavádějící tvrzení o svých funkcích nebo uživatelům zobrazují reklamy zvenčí a po instalaci skrývají ikonu aplikace. Nejvíce znepokojující je ovšem fakt, že aplikace jsou propagovány na sociálních sítích, které jsou populární mezi dětmi. Ty nemusí včas rozpoznat znaky podvodu a mohou si aplikace stáhnout,“ vysvětluje analytik hrozeb z Avastu Jakub Vávra.

Propagace na TikToku

Velkou část škodlivých aplikací propagují tři různé profily, které slouží pouze tomuto účelu. Jeden z nich má dokonce přes 300 tisíc sledujících. Kromě profilů na TikToku objevili výzkumníci Avastu také podobný účet na Instagramu, jenž měl více než 5 tisíc sledujících.

Aplikace jak pro Android, tak i pro iOS zřejmě pocházejí od stejného autora nebo skupiny autorů. Odkazy ze sociálních sítí vedou vždy do obchodu Google Play nebo Apple App Store, podle toho, jaké zařízení uživatel používá.

Avast všechny aplikace nahlásil společnostem Apple a Google a upozornil TikTok a Instagram na nebezpečné profily.

Jak se mohou uživatelé před podvodnými aplikacemi chránit

Pozorně čtěte recenze: Adware a podvodné aplikace lze těžko rozpoznat, jelikož jsou často maskované jako hry nebo jiné zábavní aplikace. Mezi znaky podvodných aplikací patří nízké hodnocení a negativní uživatelské recenze, které často explicitně zmiňují nadměrné množství reklam či nízkou funkcionalitu aplikace. „Všimli jsme si, že autoři sedmi zmíněných aplikací vyvinuli i několik dalších s nízkým počtem stažení a hodnocení. Těch pár recenzí, které mají, jsou však až přehnaně pozitivní a nadšené, což může také naznačovat, že něco není v pořádku,“ doplňuje Vávra.

Zpochybňujte ceny: Uživatelé by měli vždy zvážit, za co platí, a zda cena odpovídá tomu, co aplikace nabízí. „Mnoho podvodných aplikací nabízí základní nebo nereálné prvky, jako např. hry, které tvrdí, že hráčům dají elektrický šok, nebo tapety za zhruba 8 dolarů. To je dost vysoká částka, vezmeme-li v úvahu, že podobné hry či funkce jsou často nabízeny zdarma,“ vysvětluje analytik Vávra.

Zkontrolujte povolení: Před stažením aplikace by si uživatel měl vždy zkontrolovat, jaká povolení aplikace vyžaduje a zda jsou relevantní k tomu, aby aplikace správně fungovala. „Například aplikace pro Android ‘ThemeZone - Shawky App’ vyžaduje přístup k externí paměti zařízení, jež může obsahovat fotky, videa a soubory, podle toho, k čemu ji uživatel používá. Rozhodně to tak není něco, co by aplikace s tapetami potřebovala k fungování,“ varuje Vávra.

„Je také důležité, aby rodiče svým dětem vysvětlili, na co si při stahování aplikací dávat pozor, nebo nastavit pravidlo, že děti musí před stažením aplikace vždy požádat o svolení rodičů, aby se vyhnuly nechtěným poplatkům,“ dodává Julia Szymańska.

Ukázky aplikací a profilů na sociálních sítích můžete najít zde.

Aplikace pro Android

Název aplikace (+ odkaz na obchod), jméno vývojáře, hodnocení

Počet stažení, výnos (zdroj: SensorTower)

Popis chování aplikace

ThemeZone - Shawky App Free - Shock My Friends


Jméno vývojáře: Moteleb Inc.


Hodnocení: 1,3

Počet stažení na Google Play:
přes 100 tisíc


Počet stažení podle SensorTower:
418 000


Výnos podle SensorTower:
15 000 dolarů

  • Požaduje přístup k externí paměti prostřednictvím falešné obrazovky vyzývající k bezpečnostní kontrole
  • Uživatele láká prostřednictvím reklamy s minihrou, titulkem ‘Shock your friends’ a tlačítkem na bezplatnou zkušební verzi
  • Po kliknutí na zkušební verzi je uživatel přesměrován na platební bránu, kde má uhradit týdenní předplatné ve výši 8 - 10 dolarů. 
  • Jakmile uživatel zaplatí, zjistí, že aplikace obsahuje pouze základní tapety, ale žádnou minihru
  • Aplikace i po zaplacení zobrazuje vysoké množství reklam

Tap Roulette ++Shock my Friend


Jméno vývojáře: Go Best


Hodnocení: 2,2

Počet stažení na Google Play:
přes 1 milion


Počet stažení podle SensorTower:
1 700 000

 

  • Požaduje povolení k překrývání jiných aplikací, což využívá k zobrazování reklam přes celé zařízení
  • Aplikace skutečně obsahuje minihru, která má hráčům dávat elektrošoky. Nicméně místo toho telefon pouze rozvibruje.
  • Jakmile si uživatel hru zahraje, aktivuje se HiddenAds adware, který zároveň schová ikonu aplikace

Ulimate Music Downloader - Free Download Music


Jméno vývojáře: Go Best


Hodnocení: 3,2

Počet stažení na Google Play: 

přes 100 tisíc


Počet stažení podle SensorTower:
192 000

  • Požaduje povolení k překrývání jiných aplikací, což využívá k zobrazování reklam přes celé zařízení
  • Jakmile si uživatel přehraje pár písní, aktivuje se HiddenAds adware, který zároveň schová ikonu aplikace

 

Aplikace pro iOS

Název aplikace (+ odkaz na obchod), jméno vývojáře, hodnocení

Počet stažení, výnos (zdroj: SensorTower)

Popis chování aplikací
(na základě uživatelských recenzí)

Shock My Friends - Satuna


Jméno vývojáře: Abdelsatar Abdalmotaleb


Hodnocení: 1,6

Počet stažení podle SensorTower:
22 000 


Výnos podle SensorTower:
157 000 dolarů

  • Požaduje 8 dolarů za to, že údajně dá uživatelům a jejich přátelům elektrický šok
  • Místo toho zařízení pouze vibruje, aplikace nenabízí žádné další funkce

666 Time


Jméno vývojáře: Abdelsatar Abdalmotaleb


Hodnocení: 3,0

Počet stažení podle SensorTower: 
10 000 


Výnos podle SensorTower:
57 000 dolarů

  • Požaduje 8 dolarů za to, že údajně dá uživatelům a jejich přátelům elektrický šok
  • Místo toho zařízení pouze vibruje, aplikace nenabízí žádné další zajímavé funkce

ThemeZone - Live Wallpapers


Jméno vývojáře: Abdelsatar Abdalmotaleb


Hodnocení: 2,0

Počet stažení podle SensorTower:
67 000 


Výnos podle SensorTower:
246 000 dolarů

  • Požaduje 2 dolary za animované tapety
  • Po koupi musí uživatel zaplatit dalších 8 dolarů, aby získal přístup k VIP animovaným tapetám
  • Podle uživatelských recenzí žádná z tapet nefunguje tak, jak je inzerováno

shock my friend tap roulette v 


Jméno vývojáře: Apps & Games Inc Unlimited Fun Free Games


Hodnocení: 1,6

Počet stažení podle SensorTower:
44 000


Výnos podle SensorTower: 
52 000 dolarů

  • Požaduje 5 dolarů za to, že údajně dá uživatelům a jejich přátelům elektrický šok
  • Místo toho zařízení pouze vibruje, aplikace nenabízí žádné další zajímavé funkce

 

Profily na TikToku and Instagramu, které podvodné aplikace propagovaly

Název profilu
(+ odkaz na profil)

Počet sledujících

Propagované aplikace
(název a operační systém)

7odestar (TikTok)

přes 330 000

Shock My Friends - Satuna - iOS

ThemeZone - Live Wallpapers - iOS

666 Time - iOS

ThemeZone - Shawky App Free - Shock My Friends - Android

Dejavuuu.es3 (TikTok)

přes 28 000

666 Time - iOS

ThemeZone - Shawky App Free - Shock My Friends - Android

Marina90lazina (TikTok)

přes 3 500

ThemeZone - Live Wallpapers - iOS

ThemeZone - Shawky App Free - Shock My Friends - Android

Shockmyfriends.app (Instagram)

přes 5 000

Shock My Friends - Satuna - iOS

ThemeZone - Shawky App Free - Shock My Friends - Android