Опасные VPN-приложения для Android в Google Play: разрешения, малварь и риски

Большинство людей устанавливают VPN-приложение примерно так же, как ставят будильник: нашёл в поиске, рейтинг повыше, скачал, нажал «разрешить» на все запросы и забыл. Логика понятна: раз приложение в официальном магазине, значит, Google проверил. Это не совсем так, и именно этот миф лежит в основе большинства историй, которые разбираем ниже.

VPN-приложение по своей природе — это программа, которой вы добровольно отдаёте весь сетевой трафик телефона. Это само по себе огромный уровень доверия. Проблема в том, что многие такие приложения просят гораздо больше, чем нужно для работы туннеля, а часть из них использует это в своих интересах.

Какие разрешения VPN-приложению действительно нужны

Технически, для того чтобы поднять VPN-туннель на Android, приложению необходимо совсем немного. Основное — это BIND_VPN_SERVICE, разрешение, появившееся ещё в Android 4.0. Именно оно даёт доступ к нативному VPN API операционной системы. Дополнительно нужны INTERNET и ACCESS_NETWORK_STATE — для подключения к серверу и мониторинга сети. Плюс FOREGROUND_SERVICE — чтобы приложение работало в фоне и не убивалось системой. Всё.

Любое разрешение сверх этого минимума требует объяснения. Если его нет — это повод задуматься.

Какие разрешения в VPN-приложениях избыточны и почему это тревожно

Исследователи портала TheBestVPN.com в своё время проанализировали 81 VPN-приложение из Google Play и выяснили, что 50 из них запрашивают хотя бы одно «опасное» разрешение, не связанное с работой туннеля. В ряде случаев специалистам вообще не удалось понять, зачем эти права нужны.

Вот что встречается чаще всего и вызывает вопросы:

• READ_CONTACTS / READ_CALL_LOG — доступ к контактам и истории звонков. VPN-клиенту это не нужно ни при каких обстоятельствах.
• ACCESS_FINE_LOCATION — точная геолокация через GPS. Иногда объясняется «подбором ближайшего сервера», но для этого достаточно грубой геолокации по IP, которую приложение и так видит.
• READ_EXTERNAL_STORAGE / WRITE_EXTERNAL_STORAGE — доступ к файлам на устройстве. Полезен разве что для импорта конфигов. Но многие приложения запрашивают это без какой-либо конфигурационной логики.
• WRITE_SETTINGS — изменение системных настроек. Это уже серьёзный красный флаг.
• READ_SMS — чтение смс-сообщений. Объяснений, зачем это VPN, не существует.
• CAMERA — встречается редко, но встречается. Зачем камера VPN-приложению — загадка.

Важный нюанс: сам по себе запрос разрешения не означает его немедленного использования. Приложение может годами висеть тихо, а потом обновиться и начать активно использовать то, что вы когда-то разрешили. Android не уведомляет об этом.

Реальный кейс: 28 VPN-приложений превратили смартфоны в прокси-серверы

В мае 2023 года исследователи из компании HUMAN обнаружили в Google Play бесплатное VPN-приложение Oko VPN. Оно действительно работало как VPN, но параллельно делало кое-что ещё: через встроенную библиотеку Proxylib превращало телефон пользователя в узел резидентной прокси-сети. По сути, трафик посторонних людей шёл через ваш IP-адрес и вашу мобильную сеть.

Дальнейшее расследование показало, что та же библиотека использовалась в SDK монетизации от компании LumiApps. В итоге было выявлено 28 приложений с Proxylib, 17 из которых маскировались под бесплатные VPN. Google удалил их из Play Store в феврале 2024 года — спустя девять месяцев после первого обнаружения. Часть приложений вскоре появилась снова под теми же названиями, предположительно уже без вредоносного SDK.

Аналитики HUMAN связали инфраструктуру Proxylib с российским провайдером резидентных прокси Asocks — сервисом, который активно рекламируется на хакерских форумах. Была ли это сознательная схема разработчиков или они просто подключили чужой SDK за деньги, не вникнув в детали — до конца неясно. Но для пользователей результат одинаков.

SuperVPN и слив данных 21 миллиона пользователей

Другой показательный кейс — приложение SuperVPN, которое было скачано в Google Play более 100 миллионов раз. В 2021 году в открытый доступ утекла база данных 21 миллиона пользователей нескольких бесплатных VPN-сервисов, в том числе SuperVPN, GeckoVPN (10 млн установок) и ChatVPN. В базе содержались имена, email-адреса, геолокация и история платежей. База была выставлена на продажу.

Это классическая история про бесплатный сыр. Бесплатный VPN — это либо проект с сомнительной бизнес-моделью, либо продукт, монетизирующийся на ваших данных. Иногда и то, и другое одновременно.

Почему Google Play не гарантирует безопасность

В 2024 году Google заблокировал 2,36 миллиона приложений, нарушающих политику магазина, и забанил 158 000 аккаунтов разработчиков. Звучит впечатляюще, пока не понимаешь масштаб: это лишь то, что поймали. Битдефендер в начале 2025 года описал активную кампанию Vapor — более 180 приложений с суммарными 56 миллионами загрузок, работавших с середины 2024-го. Когда исследование завершилось, 15 приложений ещё висели в магазине.

Механизм обхода модерации отработан: приложение загружается чистым, проходит проверку, а вредоносный код доставляется позже через обновление или зашифрованный payload с удалённого сервера. Android проверяет приложение при установке, но не следит за тем, что оно делает после каждого обновления в режиме реального времени.

Google добавил программу MASA (независимый аудит безопасности) с соответствующим бейджем для VPN-приложений, прошедших проверку. Это полезно, но добровольно: большинство бесплатных VPN этот аудит не проходят.

Дополнительный риск для пользователей в России

Здесь есть своя специфика, о которой стоит знать. В апреле 2026 года исследователи RKS Global проверили 30 популярных российских Android-приложений — банки, маркетплейсы, доставку, такси — и выяснили, что 22 из них определяют наличие активного VPN-подключения, а 18 отправляют эту информацию на свои серверы. Это значит, что установленные приложения российских сервисов видят ваш VPN даже при использовании стороннего VPN-клиента.

Это самостоятельная тема, выходящая за рамки вопроса о VPN-приложениях из Play Market, но она хорошо иллюстрирует более широкий контекст: «правильный» VPN-клиент — это лишь один слой из нескольких, которые нужно принимать во внимание.

Как выбрать VPN-приложение, не превратив телефон в зомби

Коротко о том, на что реально стоит смотреть:

• Проверяйте список запрашиваемых разрешений до установки — вкладка «Сведения о приложении» в Play Market показывает их заранее.
• Ищите бейдж «Независимая проверка безопасности» (MASA) в разделе «Безопасность данных».
• Отдавайте предпочтение приложениям с открытым исходным кодом (например, основанным на WireGuard или OpenVPN) — там видно, что делает код.
• Читайте политику конфиденциальности на предмет no-logs policy. Если она написана расплывчато или отсутствует — это флаг.
• Бесплатный VPN с неясной бизнес-моделью почти всегда означает, что товар — это вы.

VPN-приложению достаточно четырёх разрешений для полноценной работы. Всё остальное — либо объяснимые функции, либо повод для вопросов. Если разработчик не объясняет, зачем ему ваши контакты или история звонков, не объясняйте ему, почему вы удаляете его приложение.

Практический итог

Google Play — не AppStore и не белая комната: вредоносные приложения туда попадают регулярно, задерживаются на месяцы, собирают миллионы установок и уходят тихо. VPN-приложения — особо чувствительная категория, потому что им по умолчанию открыт весь трафик устройства. Прежде чем жать «Установить», потратьте две минуты на разрешения, раздел «Безопасность данных» и поиск упоминаний приложения в новостях безопасности. Это минимальная гигиена, которая в случае с VPN работает в разы эффективнее, чем с любым другим типом приложений.

Дисклеймер: использование VPN-сервисов регулируется законодательством страны пребывания. В России использование VPN для обхода заблокированных ресурсов ограничено законом. Данный материал носит исключительно информационный характер в области информационной безопасности и не является инструкцией к обходу законодательных ограничений.