Даже после того, как компания Google приложила много усилий, таких как запуск программы бонусов, предотвращение использования приложений для доступа к Android, вредоносным приложениям удается попасть в Play Store и заразить пользователей вредоносным программным обеспечением.
Исследователи безопасности обнаружили по меньшей мере 85 вредоносных приложений в Google Play Store, предназначенных для кражи учетных данных пользователей российской социальной сети «Вконтакте». Эти приложения были успешно загружены миллионы раз.
Согласно сообщению в блоге Kaspersky Lab, наиболее популярным вредоносным приложением оказалось приложение, замаскированное под игру с более чем миллионом загрузок. Когда оно было впервые представлено в марте 2017 года, это была просто игра, без какого-либо вредоносного когда.
В октябре 2017 года после ожидания, длившегося более семи месяцев, авторы обновили его, добавив возможность кражи информации.
Помимо данного вредоносного приложения, исследователи обнаружили еще 84 подобных приложения в Google Play Store. Большинство из них были загружены в Play Store в октябре 2017 года и предназначены для кражи учетных данных пользователей Вконтакте.
Все эти приложения пользовались большой популярностью среди пользователей. Так, семь приложений устанавливались от 10 000 до 100 000 раз, девять от 1000 до 10 000 раз, а остальные менее 1000 раз.
Как происходило хищение данных пользователей.
Приложения использовали официальный SDK для VK.com, слегка модифицировав его с помощью вредоносного кода JavaScript, чтобы украсть учетные данные пользователей со стандартной страницы входа VK.com и передать их обратно в приложения.
Так как эти приложения выглядели так, как будто они пришли с VK.com (для прослушивания музыки, отслеживания посещений пользовательских страниц, требующих от пользователя входа в свою учетную запись с помощью стандартной страницы входа), то это не выглядело подозрительно.
Затем украденные учетные данные шифровались и загружались на удаленный сервер, контролируемый злоумышленниками.
По данным исследователей, киберпреступники используют украденные данные в основном для продвижения групп на VK.com, пользовательских страниц, требующих от пользователя входа в свою учетную запись с помощью стандартной страницы входа.
Злоумышленники, стоявшие за всем этим, публиковали свои вредоносные приложения в Play Store уже более двух лет, поэтому все, что от них требовалось – просто изменить свои приложения, чтобы избежать обнаружения.
Так как VK.com в первую очередь популярен среди пользователей из стран СНГ, то и вредоносные приложения ориентированы на пользователей России, Украины, Казахстана, Армении, Азербайджана, Молдовы, Беларуси, Кыргызстана, Таджикистана и Узбекистана.
Приложения похищали данные пользователей, но вначале проверяли язык устройства и просили учетные данные для входа пользователей на одном из вышеупомянутых языков.
Кроме того, исследователи отмечают что найдены несколько других приложений в Google Play Store, которые представлены теми же авторами и опубликованы как неофициальные клиенты для Telegram.
Как защитить ваше устройство от таких вредоносных приложений
С момента обнаружения все подобные приложения для кражи учетных данных (обнаруженные как Trojan-PSW.AndroidOS.MyVk.o) и вредоносные клиенты Telegram (обнаруженные not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a) удалены Google из Play Store.
Тем не менее, те, кто уже установил одно из вышеуказанных приложений на своих мобильных устройствах, должны убедиться, что на их устройства включена функция защиты от Google Play .
