На Android пугает не количество разрешений, а уровень контроля, который приложение получает после пары неудачных нажатий. Камера, микрофон и геолокация неприятны, но чаще всего дают только доступ к данным. Гораздо хуже доступы, которые позволяют читать экран, нажимать кнопки за вас, управлять блокировкой устройства или работать с SMS.
Самая токсичная связка выглядит так: приложение получает SMS, включает службы специальных возможностей, закрепляется через администратора устройства, а потом мешает удалению и подтверждает действия в чужих интерфейсах. Именно на таких связках строится значительная часть финансовых троянов. В недавнем разборе SecurityLab показывал пример вредоноса, который через спецвозможности фактически перехватывал управление телефоном в реальном времени.
Проблема не в слове «разрешение», а в классе доступа
На Android есть обычные разрешения, которые вы даёте во всплывающем окне, и есть отдельные, более мощные системные доступы. Пользователь часто видит их как обычный тумблер в настройках и недооценивает риск. На практике разница огромная.
| Доступ | Что получает приложение | Почему риск высокий | Где искать |
|---|---|---|---|
| SMS и журнал вызовов | Чтение сообщений, отправка SMS, доступ к кодам подтверждения и данным о звонках | Позволяет перехватывать одноразовые коды, рассылать сообщения от вашего имени, участвовать в угоне аккаунтов | Диспетчер разрешений и список приложений по типу разрешения |
| Службы специальных возможностей | Чтение содержимого экрана, отслеживание элементов интерфейса, выполнение нажатий и системных действий | Даёт почти «удалённые руки» внутри телефона. Вредонос может нажимать кнопки, подтверждать операции и собирать данные с экрана | Настройки → Специальные возможности |
| Администратор устройства | Право навязывать политики безопасности, блокировать экран, усложнять удаление и управление устройством | Используется для закрепления. Пользователь пытается удалить приложение, а система сначала требует снять админ-права | Поиск по настройкам: «администратор устройства» или «device admin» |
SMS выглядит страшно, но есть нюанс
Доступ к SMS по-прежнему опасен, но здесь есть важная деталь, которую часто упускают. В экосистеме Google Play работа с SMS и журналом вызовов жёстко ограничена: если приложение хочет полноценно читать сообщения и отправлять SMS как обычную функцию, система и правила публикации ждут, что программа станет приложением по умолчанию для SMS или звонков. Google прямо пишет об этом в документации.
Отсюда практический вывод. Если фонарик, сканер QR, чистильщик памяти, IPTV-клиент, VPN, заметки или игра внезапно просят доступ к SMS, разговор на этом можно заканчивать. Либо перед вами мусорное приложение, либо мошенническая схема, либо разработчик собрал в один пакет лишнее и опасное.
Но и расслабляться нельзя. Во-первых, часть вредоносных программ живёт вне Google Play. Во-вторых, для кражи денег и учётных записей одного SMS уже давно мало, поэтому злоумышленники комбинируют SMS с доступом к экрану, уведомлениям и спецвозможностям.
Почему Accessibility опаснее, чем кажется
Службы специальных возможностей придумали не для слежки, а для помощи людям с нарушениями зрения, моторики и речи. Проблема в другом: тот же механизм позволяет приложению читать содержимое экрана и действовать от имени пользователя. Android для разработчиков прямо описывает, что сервис доступности может нажимать кнопки, прокручивать списки и выполнять глобальные системные действия. Google отдельно признаёт, что вредоносные программы злоупотребляют таким доступом, чтобы собирать пароли и финансовые данные.
Для владельца телефона смысл простой. После включения такого доступа приложение перестаёт быть просто программой и становится чем-то ближе к оператору интерфейса. Если вредонос уже знает, где на экране лежат кнопки банка, кошелька, маркетплейса или мессенджера, дальше автоматизация превращает телефон в инструмент для чужих операций.
На Android 13 и новее Google ввёл дополнительный барьер для части рискованных сценариев. Система показывает отдельное предупреждение про «ограниченные настройки» и просит вручную подтвердить такой доступ для приложения. В справке Google прямо сказано, что такие настройки могут открыть приложению чувствительные данные и управление от вашего имени. Барьер полезный, но не волшебный. Если пользователь сам нажал «разрешить», защита кончается.
Device Admin в 2026 году уже не король, но всё ещё неприятен
Многие считают, что администратор устройства остался в прошлом. Частично правда. Google давно двигает корпоративное управление в сторону более современных режимов, а часть старых админ-политик для обычных приложений устарела ещё начиная с Android 9 и Android 10. Но опасность не исчезла.
На личном телефоне Device Admin чаще нужен вредоносам не ради полного контроля над системой, а ради закрепления. Приложение получает дополнительный вес в системе, мешает удалению, может навязывать некоторые правила блокировки и в целом делает жизнь пользователя заметно тяжелее. Для массовой мошеннической схемы такого уже достаточно.
Здесь есть ещё один нюанс. Если телефон связан с работой, школой или корпоративным профилем, вы можете видеть не просто вредонос, а нормальный служебный механизм управления. Удаление рабочего профиля сносит связанные рабочие приложения, почту, контакты и настройки. Иногда организация вообще запрещает такое удаление без администратора. На личном смартфоне чужой «админ» почти всегда повод насторожиться. На корпоративном устройстве сначала проверьте, не ломаете ли вы штатную политику компании.
Если непонятное приложение просит сразу спецвозможности, SMS, показ поверх других окон и право администратора устройства, считайте программу враждебной по умолчанию, пока не доказано обратное.
Какие признаки должны насторожить сразу
- Приложение не связано по смыслу с доступом, который запрашивает.
- После установки программа просит пройти не один экран согласия, а целую цепочку системных настроек.
- Интерфейс давит на срочность: «иначе не заработает», «срочно обновите», «нужно для защиты».
- Программа пришла по ссылке из SMS, мессенджера, рекламы или из «поддержки» банка.
- После включения доступа приложение пропадает с главного экрана, плохо удаляется или начинает открывать окна поверх других программ.
Как найти опасные доступы на Android
1. Пройдитесь по обычным разрешениям
Откройте настройки телефона, зайдите в раздел приложений и найдите диспетчер разрешений. Удобнее смотреть не по приложению, а по типу доступа. Сначала проверьте SMS, журнал вызовов, контакты, уведомления, микрофон, камеру и файлы. Лишнее отключайте без сантиментов. Если программа после отключения теряет не критичную функцию, так и должно быть.
2. Отдельно проверьте службы специальных возможностей
Зайдите в раздел «Специальные возможности» или найдите по поиску Settings слова «Accessibility», «спецвозможности» или «службы». Список обычно короткий, поэтому подозрительные вещи видны быстро. Нормально выглядят системные сервисы вроде TalkBack, Switch Access и фирменных функций производителя. Подозрительно выглядят чистильщики, «ускорители», VPN-клиенты, банковские «помощники», случайные APK без понятного происхождения.
3. Найдите администраторов устройства
У разных оболочек путь отличается, поэтому проще искать через строку поиска в настройках по словам «администратор устройства», «админ», «device admin». Если видите там программу, которую не устанавливали сознательно или не связываете с работой, сначала снимите с неё этот статус, а уже потом удаляйте.
4. Проверьте не только разрешения, но и спецдоступ
Часть опасных вещей живёт не в обычных разрешениях. Загляните в раздел «Специальный доступ приложений» или «Special app access». Там часто сидят показ поверх других окон, установка неизвестных приложений, доступ ко всем файлам, уведомления, изменение системных настроек. По отдельности каждый пункт не всегда катастрофа, но в связке риск растёт резко.
5. Посмотрите, кто стоит приложением по умолчанию
Откройте «Приложения по умолчанию» и проверьте SMS, телефон, браузер, помощник и звонилку. Если вместо ожидаемого приложения там странный кандидат, верните штатный вариант.
Как отключать без лишнего хаоса
Правильный порядок почти всегда такой. Сначала выключаете доступ к спецвозможностям. Потом снимаете статус администратора устройства. Затем отключаете показ поверх других окон, установку из неизвестных источников и лишние обычные разрешения. Только после этого удаляете приложение.
Почему порядок важен. Если начать с удаления, вредонос иногда успевает открыть системный экран, спрятать кнопку, перебросить вас в другое меню или просто заблокировать процесс. Если сначала отрезать ему руки, дальше деинсталляция проходит заметно спокойнее.
Если приложение всё равно не уходит, попробуйте такой маршрут. Остановите программу принудительно, очистите кэш и данные, снова проверьте админ-доступ и спецвозможности, затем удаляйте. Если оболочка телефона продолжает сопротивляться, загрузитесь в безопасный режим и удалите программу там. Безопасный режим временно отключает сторонние приложения и часто ломает сценарий самозащиты вредоноса.
Когда нужен не просто тумблер, а жёсткая зачистка
Есть признаки, после которых полумеры уже плохая идея. Телефон сам открывает окна, кто-то подтверждает действия в банковском приложении, на экране всплывают поддельные формы, исчезают иконки, блокируется яркость, растут расходы на SMS или появляются операции, которых вы не делали. В такой ситуации лучше действовать как при компрометации, а не как при «подозрительном приложении».
Практический порядок такой. Отключите сеть, если боитесь активного удалённого управления. С другого устройства смените пароли от почты, банков, маркетплейсов и мессенджеров. Проверьте, не подключены ли новые устройства в аккаунтах. Затем сделайте резервную копию нужных фото и файлов без переноса APK и мусора, а после этого готовьтесь к сбросу до заводских настроек. Если на телефоне были банковские приложения и одноразовые коды, тянуть не стоит.
Что помогает заранее, а не после заражения
Не ставьте APK из ссылок в SMS, мессенджерах и рекламе. Не держите включённой установку из неизвестных источников «на всякий случай». Не выдавайте доступ к спецвозможностям программам, которым можно жить без него. Оставьте включённым Play Protect. Если у вас современный поддерживаемый аппарат и риск-профиль выше среднего, есть смысл включить расширенную защиту Android: Google в 2026 году уже объединяет в таком режиме блокировку установки приложений из неизвестных источников, жёсткую работу Play Protect и ещё несколько защитных механизмов.
Где совет не сработает
Этот разбор помогает против массового мусора, серых APK и заметной финансовой дряни. Против хорошего шпионского ПО уровня точечной атаки такой чек-лист уже слабее. Если заражение идёт через физический доступ к устройству, через MDM, через компрометированную прошивку или через эксплойт без явного запроса прав, одних проверок разрешений мало. Там нужны другая модель угроз, анализ устройства и часто полный сброс с чистой настройкой.
Ещё один частый промах связан с корпоративными телефонами. Пользователь видит рабочий профиль или политику управления, пугается слова «администратор» и начинает ломать то, что ИТ-отдел поставил сознательно. На личном устройстве логика одна. На рабочем устройстве сначала выясните происхождение профиля, потом трогайте тумблеры.
FAQ
Если приложение из Google Play, можно расслабиться?
Нет. Риск ниже, но не нулевой. Google Play режет много мусора, однако плохие приложения там тоже периодически проскакивают.
Нужны ли банковскому приложению спецвозможности?
Обычно нет. Банк может просить уведомления, камеру или биометрию, но доступ к Accessibility для обычной работы выглядит очень сомнительно.
Можно ли просто отключить SMS и оставить всё остальное?
Иногда да, но у финансового вредоноса главный рычаг часто не SMS, а спецвозможности и наложение окон. Проверять нужно всю связку.
Почему приложение не удаляется с первого раза?
Чаще всего потому, что у программы включён администратор устройства, сервис специальных возможностей или другой спецдоступ, который мешает удалению.
Сброс до заводских настроек решает проблему?
В большинстве массовых сценариев решает, если после сброса не восстанавливать сомнительные APK, не ставить старый мусор вручную и не возвращать компрометированные аккаунты без смены паролей.
Практический вывод
На Android бояться нужно не каждого разрешения подряд, а тех доступов, которые превращают приложение в оператора вашего телефона. В первую очередь проверьте SMS, спецвозможности, администратора устройства и спецдоступы вроде показа поверх окон и установки неизвестных пакетов. Если программа не может внятно объяснить, зачем ей такой уровень контроля, лучший ответ один: отключить, удалить, забыть.
