Apptizo
⌘K
Подписаться
Hand holding smartphone capturing colorful tarot cards in focus.

Apps

Безопасно ли скачивать это приложение? Практический чек-лист

Мобильные вредоносы распространяются стремительно — самые опасные приложения выглядят безобидно. Учитесь проверять разрешения, распознавать фиктивные отзывы и замечать тревожные сигналы в магазинах приложений менее чем за 2 минуты.

May 09, 2026 · 11 мин чтения · через kramaru

TLDR Перед установкой любого приложения проверьте запрашиваемые разрешения, изучите репутацию разработчика и оцените подлинность отзывов. Большинство опасных приложений легко проходят беглый взгляд, но рассыпаются под 90-секундной проверкой. Это руководство — и есть та самая проверка. Технических знаний не требуется.

Процесс установки приложений намеренно сделан безупречно простым. Нажал, согласился, готово. Это осознанное продуктовое решение — и именно оно привело к тому, что в первом квартале 2024 года только на Android было обнаружено 3,4 миллиона вредоносных пакетов, по данным подразделения Kaspersky по анализу угроз. Большинство этих приложений не были кричащими, очевидными подделками. Они маскировались под фонарики, сканеры QR-кодов, бесплатные VPN-сервисы. Грань между безопасной загрузкой и кошмаром похищения данных нередко определяется несколькими конкретными проверками. Проверками, которые занимают меньше времени, чем прочтение push-уведомления.

Экран разрешений — это не просто формальность

Большинство людей нажимают «Разрешить всё» и идут дальше. Понять их можно — диалоги ощущаются как пункты платного проезда: нечто, что нужно проскочить, чтобы добраться до настоящей цели. Но этот экран — самый честный сигнал о реальных намерениях приложения, который вы когда-либо получите.

Разрешения делятся на уровни. В Android 13+ «обычные» разрешения (доступ к интернету, управление вибрацией) предоставляются автоматически при установке. «Опасные» разрешения — местоположение, камера, микрофон, контакты, SMS, хранилище — требуют явного согласия пользователя и заслуживают тщательного изучения. iOS придерживается схожей логики: запрос появляется только тогда, когда приложение впервые пытается получить доступ к чувствительному ресурсу. Вопрос предельно прост: действительно ли это разрешение нужно приложению для выполнения своей задачи?

Приложение погоды запрашивает геолокацию? Логично. То же самое приложение хочет доступ к контактам и микрофону? Ни то ни другое не нужно, чтобы сообщить о дожде.

снимок экрана смартфона с диалоговыми окнами запроса разрешений приложения

Что на самом деле сигнализирует каждое разрешение

Разрешение Легитимное использование Подозрительное использование
Точное местоположение Карты, местная погода, такси Бесплатный фонарик, простой калькулятор, обои
Контакты Мессенджеры, определитель номера Фильтры фото, будильник, просмотр PDF
Микрофон Голосовые/видеозвонки, голосовой поиск Игры без голосовых функций, новостной ридер
Камера QR-сканер, видеозвонки Текстовые утилиты, финансовый трекер
Чтение/отправка SMS Приложения 2FA, мессенджеры Почти всё, что не является мессенджером
Служба специальных возможностей Экранные дикторы, менеджеры паролей Самое часто злоупотребляемое разрешение шпионского ПО

Последняя строка заслуживает особого внимания. Приложения с доступом к службе специальных возможностей способны читать всё отображаемое на экране, перехватывать нажатия клавиш и взаимодействовать с другими приложениями от вашего имени. Легитимные сценарии существуют — TalkBack, LastPass, Tasker. Но банковские трояны обожают это разрешение больше всех прочих. GoldPickaxe — троян, задокументированный Group-IB в начале 2024 года, — использовал функции специальных возможностей в версиях для Android и iOS, чтобы похищать биометрические данные лица и перехватывать SMS-сообщения. Если приложение, которое вы не искали специально для целей доступности, запрашивает его — отказ без раздумий.

Warning Если приложение требует разрешение службы специальных возможностей и не является экранным диктором, менеджером паролей или инструментом автоматизации, который вы специально искали, — немедленно откажите. Это разрешение открывает доступ к банковским данным, кодам 2FA и паролям на экране тому, кто написал приложение.

Ещё один момент: на Android приложения, установленные в обход Play Store через скачанные APK-файлы, полностью минуют предварительную проверку Google. Пользуйтесь официальными магазинами, если только у вас нет конкретной, хорошо обоснованной причины поступить иначе.

Как понять, что разработчик настоящий

Имя разработчика в карточке приложения — одно из первых, что стоит проверить. И одно из самых простых для подделки.

Популярная схема мошенничества выглядит так: злоумышленник копирует название и иконку известного приложения, регистрирует аккаунт разработчика под слегка изменённым именем и публикует клон. Google удалил из Play Store 2,28 миллиона нарушающих правила приложений в 2023 году — эта цифра взята напрямую из их ежегодного отчёта о прозрачности — и это не считая тех, что прошли незамеченными. Клоны — реальная и устойчивая часть этой проблемы, особенно в категориях банкинга, криптовалюты и утилит.

Я однажды проверил это, поискав мобильное приложение крупного регионального банка на старом Android-устройстве. Третьим результатом в Play Store оказался клон: почти идентичная иконка, трёхнедельный аккаунт разработчика, другое, но правдоподобно звучащее название компании. У него было 4,8 звезды. О том, почему эта цифра не так обнадёживает, как кажется, — чуть ниже.

Проверка репутации разработчика: пошаговый процесс

  1. Ищите имя разработчика самостоятельно. Не полагайтесь только на карточку в магазине. Введите имя разработчика в Google со словами «мошенничество» или «вредоносное ПО». У легитимной компании будет реальное присутствие в интернете помимо профиля в магазине приложений.
  2. Проверьте, когда создан аккаунт разработчика и сколько у него приложений. Новые аккаунты, публикующие приложения с заявленными миллионами загрузок, заслуживают дополнительного изучения. В Google Play список других приложений разработчика виден в карточке — если это единственное приложение, появившееся в прошлом месяце, изучите вопрос подробнее, прежде чем продолжить.
  3. Проверьте внешний сайт разработчика. Карточка должна ссылаться на реальный сайт с рабочими контактными данными. Ссылка, ведущая на пустую страницу, припаркованный домен или типовой одностраничник на бесплатном Wix, — значимый тревожный сигнал.
  4. Ищите приложение на официальном сайте организации. Крупные приложения — ваш банк, Spotify, страховая компания — упоминают или прямо ссылаются на своё приложение с главного сайта. Начинайте оттуда, а не с результатов поиска в магазине.
  5. Сверьте домен электронной почты поддержки. Если контактный адрес поддержки — Gmail или Hotmail, а приложение заявляет 10 миллионов загрузок, это несоответствие стоит изучить. Организации такого масштаба используют корпоративную почту.
  6. Проверьте наличие физического адреса. Не у каждого небольшого разработчика есть офис, но приложения, работающие с платежами или медицинскими данными, нередко обязаны его указывать по закону. Его отсутствие в этих категориях — заметный сигнал.
Tip Для любых приложений, связанных с банкингом, здравоохранением, криптовалютой или платежами, — начинайте загрузку с официального сайта сервиса, а не со строки поиска в магазине приложений. Сайт организации ссылается на их верифицированную карточку с подтверждённым издателем.

Фиктивные отзывы стали изощрёнными

Рейтинг 4,6 звезды при 50 000 отзывов сам по себе не является свидетельством качества или безопасности. Это нужно сказать прямо. Манипуляции с отзывами — процветающая индустрия. По оценке исследователей Университета Балтимора в 2022 году, фиктивные отзывы повлияли на потребительские решения о покупках на сумму 152 миллиарда долларов по всему миру — магазины приложений здесь не исключение.

Признаки эволюционировали. Ранние фермы фиктивных отзывов производили очевидно роботизированный текст: короткий, безликий, странно формальный. Теперь они используют текст, сгенерированный ИИ, с разнообразной лексикой, смешанными структурами предложений и даже имитацией распределения 3- и 4-звёздочных оценок для создания видимости подлинности. Итоговому числу нельзя доверять. Нужно читать сами отзывы.

сравнение настоящих и фиктивных отзывов в магазине приложений рядом друг с другом

Признаки того, что отзывы сфабрикованы

  • Всплески активности. Отсортируйте отзывы по новизне и поищите крупный кластер 5-звёздочных записей, опубликованных в течение нескольких дней. Органический рост не выглядит как вертикальный скачок.
  • Одинаковые или почти одинаковые формулировки у разных рецензентов. Фраза «Это приложение изменило мою жизнь и работает идеально!», дословно или в схожей парафразе встречающаяся у пяти аккаунтов за 48 часов, — результат работы фермы копипаста.
  • Рецензенты без других отзывов и фото профиля. В Google Play можно нажать на имя рецензента и увидеть его историю. Аккаунты с одним отзывом, без аватара и с шаблонным именем часто закупаются у фабрик отзывов.
  • Количество звёзд непропорционально числу письменных отзывов. Рейтинг 4,9 при 80 000 оценках, но только 14 видимых письменных откликах — тревожный сигнал. Цифры не сходятся, если рейтинг ставили реальные пользователи.
  • Отзывы, не описывающие реальные функции приложения. Менеджер паролей, получающий похвалы за «невероятное качество видео» или «красивый интерфейс для сёрфинга», явно собрал их от ботов или платных рецензентов, которые никогда не запускали продукт.

Вот неочевидный совет: приложение с рейтингом 4,2 и 1800 подробными, неоднозначными отзывами нередко заслуживает большего доверия, чем приложение с рейтингом 4,9 и 100 000 подозрительно однородных оценок. Более низкий средний балл не всегда означает хуже. Иногда это значит, что реальные люди оставили честные мнения.

Info Такие инструменты, как Fakespot (доступен как браузерное расширение), умеют анализировать паттерны отзывов на некоторых платформах, хотя покрытие магазинов мобильных приложений у них ограничено. Для ручной проверки сортировка отзывов по «Наиболее критичным» или наименьшему рейтингу часто выдаёт самые честные впечатления — реальные недовольные пользователи конкретно описывают, что пошло не так.

Тревожные сигналы в магазине приложений, которые вы наверняка пролистываете

За пределами разрешений и отзывов сама карточка приложения содержит сигналы — если читать её, а не воспринимать пассивно.

Орфографические и грамматические ошибки в описании. Легитимные разработчики — особенно работающие в сколько-нибудь заметном масштабе — вычитывают карточку перед публикацией. Рваные описания с неловкими формулировками, синтаксисом машинного перевода или хаотично написанными с заглавной буквы словами — типичный признак приложений, созданных в дешёвых мошеннических операциях.

Дата последнего обновления. Приложение, заявляющее о защите в реальном времени, актуальных финансовых данных или активном сканировании на вредоносы, но не обновлявшееся с 2021 года, не выполняет обещанного. Рабочие приложения обновляются. Проверьте дату и сопоставьте с тем, что обещает приложение.

Несоответствие числа загрузок числу отзывов. Если приложение показывает 10 миллионов загрузок, но только 800 отзывов — соотношение неправдоподобно. Реальные пользователи, регулярно использующие приложение, оставляют отзывы с постоянной органической частотой. Огромный разрыв обычно указывает на накрученные загрузки, искусственно завышенные установки от ботов — или и то и другое.

Качество и доступность политики конфиденциальности. Каждое приложение, собирающее данные пользователей, обязано публиковать политику конфиденциальности согласно GDPR (действует с мая 2018 года в Европе) и CCPA (действует с января 2020 года в Калифорнии). Отсутствие ссылки на политику — уже нарушение. Но политика, которая гласит лишь «мы можем передавать ваши данные неопределённым третьим лицам в деловых целях», формально соответствует требованиям, а практически бесполезна. Прочтите хотя бы первые два абзаца — обычно этого достаточно.

Информация о внутренних покупках, появляющаяся только после установки. Если приложение числится как «Бесплатное», но сразу после запуска требует подписку за 49,99 доллара в неделю ещё до того, как вы воспользовались хоть одной функцией, — это тёмный паттерн, а в ряде случаев мошенничество. Проверьте строку «Встроенные покупки» в карточке приложения до загрузки.

Google Play против Apple App Store: что на самом деле безопаснее?

По умолчанию принято считать, что App Store изначально безопаснее, потому что Apple вручную проверяет каждую заявку на приложение перед публикацией. Это убеждение не ошибочно — но оно существенно неполно.

Фактор Google Play Apple App Store
Процесс проверки приложений Автоматизированный + ручная проверка после публикации Ручная + автоматическая проверка до публикации
Установка из сторонних источников Разрешена при изменении настроек Ограничена на iOS 17+ только через нотаризацию
Скорость удаления вредоносов Медленнее во многих задокументированных случаях Как правило, быстрее после обнаружения
Распространённость клонов Выше — ниже барьер для публикации Ниже, но не нулевая
Раскрытие данных Раздел «Безопасность данных», заполняемый разработчиком Самостоятельно заполняемые «Ярлыки конфиденциальности»
Сканирование на устройстве Play Protect сканирует ~125 млрд приложений в день Аналогичного постоянного сканера нет
Заметные исторические инциденты Agent Smith (2019, ~25 млн устройств), Goldoson (2023, 60+ заражённых приложений) XcodeGhost (2015, 4000+ приложений), GoldPickaxe (2024, iOS + Android)

Контрарный взгляд: пользователи iOS склонны быть менее бдительными при проверке приложений именно потому, что доверяют процессу проверки Apple. Это ложное доверие делает их более уязвимыми для определённой категории атак — приложений, ведущих себя нормально в течение недель или месяцев после запуска, а затем получающих серверное обновление конфигурации, которое активирует вредоносное поведение после прохождения начального окна проверки. Проверяющие Apple могут оценивать только то, что приложение делает на момент подачи заявки.

Google Play Protect, в свою очередь, выполняет непрерывное сканирование на устройстве даже после установки и одобрения приложения. Этот постоянный мониторинг — значимое архитектурное отличие в повседневной защите, несмотря на то что начальный барьер для публикации на Android заметно ниже.

Ни одна из платформ не даёт гарантий. Это лежачие полицейские, а не стены.

разделённый экран с главными страницами Google Play и Apple App Store

Быстрый чек-лист перед установкой

Выполните это перед установкой любого приложения, которое будет работать с чувствительными данными — банкинг, медицинские записи, мессенджеры, пароли или всё, что требует учётных данных.

  1. Поищите название приложения со словами «вредоносное» или «мошенничество» — тридцать секунд проверки, которую большинство людей полностью пропускают.
  2. Убедитесь, что имя разработчика соответствует ожидаемой организации, проверив это за пределами магазина.
  3. Убедитесь, что у разработчика есть другие опубликованные приложения и аккаунт старше нескольких недель.
  4. Прочтите список разрешений перед нажатием «Скачать» — на Android он виден в карточке приложения в разделе «Разрешения приложения» без установки.
  5. Просмотрите 1-звёздочные отзывы на предмет паттернов, связанных с нарушениями конфиденциальности, неожиданными списаниями или заявлениями о краже данных.
  6. Проверьте дату последнего обновления — всё, что связано с безопасностью и не обновлялось 18+ месяцев, несёт повышенный риск.
  7. Перейдите по ссылке на политику конфиденциальности и прочтите вводный абзац — проверьте, загружается ли она и называет ли конкретных партнёров по данным.
  8. Оцените соотношение загрузок и отзывов — новое приложение с 5 миллионами загрузок и 150 отзывами почти наверняка имеет накрученные показатели.
  9. Для финансовых и медицинских приложений: начинайте с официального сайта организации, а не с результатов поиска в магазине.
  10. После установки проверьте разрешения в системных настройках устройства и отзовите всё, что не выполняет очевидной функции — на Android: Настройки → Конфиденциальность → Менеджер разрешений; на iOS: Настройки → Конфиденциальность и безопасность.
Tip На Android Настройки → Конфиденциальность → Менеджер разрешений показывает все приложения, сгруппированные по типу разрешений. С первого взгляда видно, какие приложения имеют доступ к камере или микрофону, и можно отозвать разрешение у каждого по отдельности без удаления. Проведите этот аудит для уже установленных приложений — по опыту, у большинства людей находится хотя бы один сюрприз.

Источники и дополнительное чтение

Kaspersky Threat Intelligence Portal — Публикует ежеквартальные отчёты об угрозах для мобильных устройств с реальными данными об обнаружениях по платформам, географии и семействам вредоносного ПО. Основной источник текущей статистики объёмов Android-вредоносов и трендов.

Google Play Store Transparency Report — Ежегодный разбор удалённых из Google Play приложений с разбивкой по категориям нарушений и сводной статистикой сканирований Play Protect. Первичный источник, непосредственно от Google.

Apple Platform Security Guide — Собственная документация Apple о процессе проверки в App Store, требованиях к нотаризации и архитектуре безопасности на устройстве. Полезно для точного понимания того, что покрывает проверка Apple на этапе подачи заявки, а что — во время выполнения.

FTC Consumer Information (consumer.ftc.gov) — Практические рекомендации по мошенничеству с мобильными приложениями, несанкционированным платным подпискам и порядку сообщения о мошеннических приложениях. Написано для широкой аудитории, а не для технических специалистов.

Zimperium Global Mobile Threat Report — Ежегодный отраслевой анализ угроз для мобильных устройств, охвата фишинга и тенденций уязвимостей для iOS и Android. Публикуется компанией в сфере мобильной безопасности — учитывайте коммерческий контекст, однако базовые данные стабильно хорошо цитируются.