СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
14 мая
#ИБ

Android теперь будет самостоятельно искать шпионское ПО на всех гаджетах

Android теперь будет самостоятельно искать шпионское ПО на всех гаджетах

изображение: grok

Google запускает новый инструмент Android Intrusion Logging для расследования заражений Android-устройств шпионским ПО. Функция появилась 12 мая в состав Android Advanced Protection Mode и рассчитана преимущественно на «пользователей высокого риска» — журналистов, правозащитников, политиков, активистов, руководителей и специалистов с доступом к чувствительным данным.

Главная идея механизма сводится к заблаговременному сохранению следов подозрительной активности для последующего анализа доверенными специалистами по цифровой криминалистике. До сих пор расследование spyware-инцидентов на Android упиралось в нехватку логов. Следы были случайными, короткоживущими и не всегда пригодными для полноценного анализа.

Android Advanced Protection Mode появился в 2025 году как режим усиленной защиты для людей с повышенным риском целевых атак. По смыслу его часто сравнивают с Lockdown Mode от Apple. Режим собирает набор заранее заданных защитных функций.

Новая функция Intrusion Logging разработана Google вместе с организациями гражданского общества:

  • Amnesty International Security Lab;
  • Digital Security Lab Reporters Without Borders;
  • профильные исследовательские группы по spyware;
  • эксперты по цифровой безопасности журналистов;
  • специалисты по forensic-анализу мобильных устройств.

Уточняется, что Google впервые сделала forensic-инструмент для расследования шпионских атак прямо внутри Android, а не отдали эту задачу третьим сторонам.

Intrusion Logging позволяет пользователям сохранять сведения об активности устройства и сети в периоды странного поведения или подозрения на заражение. Позже данные можно передать доверенному аналитику для расследования поведения устройства, сетевых соединений и работы приложений.

В forensic-логи попадают разные категории событий:

  • разблокировка устройства и физический доступ;
  • установка и удаление приложений spyware;
  • события DNS и сетевые подключения;
  • подозрительные взаимодействия с системой;
  • работа служб защиты и реакции на угрозы.

Все журналы по умолчанию собираются 1 раз в день. Перед сохранением они шифруются ключом самого пользователя. После этого данные архивируются в аккаунте Google. Компания заявляет о доступе к расшифровке только у пользователя без Google и посторонних лиц.

При необходимости расследования владелец устройства сам передаёт журналы forensic-аналитику через безопасный механизм с устройства. Подобная деталь принципиальна для баланса между пользой расследования и приватностью.

Amnesty International предупредила о возможном сохранении в Intrusion Logging данных вроде истории браузерной навигации. Безопасная передача логов и осознанное согласие пользователя становятся значимыми. В случае журналистов, источников, активистов и правозащитников утечка подобных логов сама создаёт риск.

Глава направления безопасности Amnesty Tech Доннча О Кервайлл положительно оценил запуск Intrusion Logging. По словам Доннча О Кервайлла, расследования spyware-атак раньше опирались на случайные журналы без изначальной заточки под анализ угроз. Появляется возможность находить следы продвинутого spyware, эксплойтов и несанкционированного физического доступа даже спустя месяцы после события.

На устройствах Google Pixel функция доступна при Android 16 и более новых версиях с включённым Advanced Protection Mode. Сначала Intrusion Logging работает на Pixel, но Google планирует расширение поддержки на другие Android-устройства.

Параллельно Amnesty International обновляет Android Quick Forensics. Это лёгкий открытый forensic-инструмент для Android. Также организация развивает Mobile Verification Toolkit для упрощения сбора forensic-следов на Android и iOS.

Google одновременно обновила сам Android Advanced Protection Mode. Для Pixel на Android 16 и новее стала доступна USB Protection. Функция блокирует новые USB-подключения для передачи данных при заблокированном экране. Подобный механизм снижает риск атак через несколько каналов:

  • физический доступ к устройству;
  • вредоносные USB-аксессуары;
  • попытки извлечения данных через кабель;
  • подключение поддельных зарядных станций;
  • атаки через специальные хакерские устройства.

С Android 17 режим усиленной защиты будет ограничивать доступ к accessibility services у приложений без статуса инструментов доступности. Подобная мера снизит риск злоупотребления службой специальных возможностей со стороны вредоносных приложений.

Также Google отключает возможность разблокировки одного устройства через другое доверенное устройство поблизости. Решение направлено на усиление физической защиты.

Интересно, что Google отключила в режиме защиты даже разблокировку телефона через соседние доверенные устройства, и подобная мера показывает серьёзность подхода для группы высокого риска.

В Chrome внутри Advanced Protection Mode отключат поддержку WebGPU для уменьшения поверхности атаки браузера. WebGPU даёт сайтам низкоуровневый доступ к графическому процессору с одновременным ростом сложности браузерной среды.

Ещё одно обновление касается обнаружения мошенничества в уведомлениях чатов. Режим усиленной защиты будет использовать scam detection для выявления и блокировки обманных сообщений.

Позже в этом году Advanced Protection должен появиться для управляемых устройств через Android Enterprise. Это расширит режим на корпоративный контур, где телефоны сотрудников могут быть частью общей модели защиты компании.

Ранее сообщалось о пересборке Google программ вознаграждений за уязвимости в Android и Chrome. За самые сложные цепочки атак Google теперь готова платить до 1,5 млн долларов.

При этом выплаты за более простые баги снижаются из-за автоматизации поиска через ИИ. Подобный баланс показывает новую стратегию. Google готова платить огромные суммы за редкие глубокие цепочки эксплуатации, но ожидает удешевления рутинного поиска багов.

Для коммерческого spyware новый инструмент создаёт дополнительное давление. Чем больше следов сохраняется на устройстве и в сети, тем выше шанс обнаружения атаки позже. Даже при попытке вредоносной программы скрыть присутствие отдельные следы остаются в forensic-журналах.

Для пользователей функция не означает полной защиты от spyware. Intrusion Logging не останавливает заражение автоматически и не заменяет другие меры:

  • регулярные обновления операционной системы;
  • осторожность с подозрительными ссылками;
  • сильную блокировку устройства паролем;
  • отказ от сомнительных приложений;
  • проверку аккаунтов на чужие сессии.

Для экспертов по цифровой криминалистике инструмент становится ценным источником данных. Расследования мобильного spyware часто строятся на небольших следах, временных файлах, сетевых артефактах и поведении системы.

Эксперты редакции CISOCLUB отмечают, что запуск Android Intrusion Logging показывает переход мобильной защиты от простой блокировки угроз к полноценной forensic-модели. По мнению редакции, Google фактически признаёт недостаточность только предотвращения атак для людей из группы высокого риска. Для журналистов, правозащитников, активистов и руководителей значимо заранее собирать следы для понимания факта заражения, источника доступа и характера попавших под угрозу данных через недели или месяцы после самого инцидента. Подобный подход меняет всю модель работы со spyware и постепенно может стать стандартом для других мобильных платформ.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: