Исследование: магазин приложений RuStore может скрытно устанавливать программы и собирать персональные данные

Что обнаружил анализ

По результатам исследования, российский магазин приложений способен незаметно инициировать установку новых программ на устройство без явных запросов и уведомлений пользователю. Авторы работы также выявили сбор широкого спектра данных о самом смартфоне и поведении пользователя.

Тихая установка приложений

Магазин может запускать «тихие» установки: пользователь не получает привычных подтверждений или уведомлений. Исследователь полагает, что таким способом на некоторые устройства был установлен мессенджер без явного согласия владельца.

Фиксация местоположения даже при выключенном GPS

Анализ показал регулярное получение данных о координатах устройства не только через спутниковый GPS, но и по сети: сотовым вышкам, через MAC‑адрес роутера и другие сетевые параметры. По мнению исследователя, такой набор данных позволяет достаточно точно определять геопозицию даже при отключенном GPS.

Сбор сведений о приложениях и активности

Магазин регулярно формирует «снимок» устройства: какие VPN и банковские приложения установлены, какие защищённые мессенджеры и сторонние магазины присутствуют, а также как часто и как долго они запускаются. Эти данные привязываются к аппаратному идентификатору телефона и отправляются на серверы оператора сервиса.

Доступ к галерее

В состав приложения включён антивирусный SDK, который осуществляет мониторинг каталогов с фотографиями (DCIM и Pictures). По наблюдению исследователя, поведение этого SDK похоже на классические антивирусные механизмы и приводит к постоянному сканированию пользовательской галереи.

Исследователь отмечает, что в результате архитектура приложения представляет собой «Франкенштейн», нарушающий общепринятые принципы приватности и безопасности.

Можно ли удалить цифровой отпечаток?

Если выводы верны, то отозванный «слепок» устройства уже отправлен на сервер и привязан к ID телефона, поэтому полностью удалить следы сбора данных после факта передачи становится невозможно.

Как временно отключить магазин на Android

Эксперты предлагают отключать приложение через Android Debug Bridge. Для этого подключите смартфон по USB в режиме отладки и выполните в терминале Android Platform Tools следующие команды:
adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После выполнения команд режим отладки можно отключить.

Контекст

С апреля 2024 года действует требование о предустановке указанного магазина на продаваемые в России телефоны. Также ранее были приняты меры по обязательной предустановке отечественного мессенджера.

Читайте также

В проекте приказа ведомства предлагается передавать ему в распоряжение акции, землю, технику и оборудование национализированных предприятий стройотрасли, чтобы сразу использовать мощности для гособоронзаказа без посредников.
Минобороны предложили управлять активами национализированных стройкомпаний для нужд армии

В проекте приказа ведомства предлагается передавать ему в распоряжение акции, землю, технику и оборудование национализированных предприятий стройотрасли, чтобы сразу использовать мощности для гособоронзаказа без посредников.

Промо-баннер кампании Перезагрузка 2026