Приложение «Музыка ВКонтакте» ворует аккаунты пользователей
Согласно известной китайской поговорке, «Путь в тысячу ли начинается с одного шага». Наш путь к выявлению масштабного хищения личных данных пользователей социальной сети «ВКонтакте» начался с письма пользователя, приславшего нам для изучения подозрительное приложение.
На первый взгляд, исследуемое приложение «Музыка ВКонтакте» содержало лишь заявленную легитимную функцию – проигрывание аудиозаписей, выложенных в социальной сети. Но дальнейшее исследование показало, что оно содержит также вредоносный код, предназначенный для кражи аккаунта пользователя в социальной сети «ВКонтакте» и продвижения в этой сети определенных групп.
Приложение «Музыка ВКонтакте» могло похитить аккаунты сотен тысяч пользователей социальной сети
Tweet
Скачать приложение «Музыка ВКонтакте» можно было в официальном магазине приложений Google Play. По нашим оценкам, с помощью этого приложения злоумышленники могли похитить аккаунты сотен тысяч пользователей социальной сети.
Принцип работы вредоносной программы
Сразу после запуска, «Музыка ВКонтакте» просит ввести свой логин и пароль к аккаунту «ВКонтакте», чтобы приложение могло работать в социальной сети.
После того как пользователь вводит свои логин и пароль, приложение отправляет их на легитимный сервер аутентификации oauth.vk.com. Если аутентификация прошла успешно, пользователь действительно может слушать музыку, выложенную в социальной сети. А троянец тем временем отправляет проверенные логин и пароль на сервер злоумышленников — обычным текстом.
Отметим, что такой способ передачи логина и пароля может привести к их повторной краже другими злоумышленниками, так как не используется безопасный протокол HTTPS.
После этого троянец обращается к своему серверу за списком групп, продвижением которых занимаются злоумышленники. В эти группы он тут же добавляет похищенный аккаунт пользователя.
Помимо продвижения групп, злоумышленники могут менять пароль и использовать украденные аккаунты по своему усмотрению: нам известны случаи, когда у жертвы троянца через некоторое время пропадал доступ к аккаунту «ВКонтакте».
Массовое заражение
Как уже было сказано выше, скачать приложение «Музыка ВКонтакте» можно было в официальном магазине приложений Google Play. Подобные приложения пользуются большой популярностью у пользователей Android.
Первая из известных нам версий вредоносного приложения «Музыка ВКонтакте» была опубликована в Google Play 16 августа 2015 года, далее версии меняли, как правило, раз в 6-10 дней. Все версии различались только именем пакета, функциональность приложения оставалась неизменной.
Самая последняя из известных нам версий была опубликована 4 октября. Это была как минимум седьмая версия вредоносного приложения, предыдущие шесть ранее были удалены Google. В то же время, судя по данным из кода троянца, это была уже 15-я версия приложения. Мы не можем утверждать, что все эти версии были размещены в Google Play, мы видели только семь из них.
Ситуацию усугубляет легкость, с которой злоумышленники выкладывают каждую новую версию этого троянца взамен заблокированной.
Опубликованная 4 октября версия приложения уже на следующий день имела средний балл 4.5 при более чем 600 оценках пользователей.
По информации с Google Play, всего за два дня последнюю версию приложения скачали от 100 000 до 500 000 пользователей. По нашим данным, популярность одной из более старых версий была в 10 раз выше – это может означать, что только этой версией могли быть заражены устройства сотен тысяч пользователей.
Последствия
Для пользователя сам факт кражи данных для авторизации в социальной сети «ВКонтакте» останется незамеченным, пока злоумышленники не решат воспользоваться этими данными и не сменят логин/пароль или не начнут рассылать спам с украденного аккаунта.
Мы призываем пользователей быть бдительными и не вводить логин и пароль в сторонних приложениях. Если у вас было установлено приложение «Музыка ВКонтакте» или подобное приложение для прослушивания музыки в социальной сети «ВКонтакте», рекомендуем удалить его и срочно сменить логин и пароль к аккаунту в этой сети.
Мы сообщили Google о последней выложенной версии вредоносного приложения, и она была удалена. Группы, продвигаемые с помощью троянца, были заблокированы администрацией социальной сети, которую мы также проинформировали о вредоносном приложении.
Все версии вредоносного приложения детектируются продуктами «Лаборатории Касперского» как Trojan-PSW.AndroidOS.MyVk.a.
Выражаем благодарность Александру Денькову за помощь в обнаружении этого зловреда.
Кража под музыку
Сергей
А какие есть общие признаки у всех вредоносных приложений? Как их может выявить среди нормальных приложений обычный пользователь?
Roman Unuchek
К сожалению не существует общего признака для всех вредоносных приложений. В данном случае пользователям не стоило устанавливать сторонее приложение, так как есть официальное приложение от Вконтакте.
Дмитрий
Никогда не доверял подобным приложениям и всяким «загрузчикам» из контакта и очередной раз вижу, что не зря.
Egor Sm.
А компанию Agava, которая хостит данный сайт предупредили?
Corvair
Никогда не ставлю сторонние приложения-«дополнения» к соцсетям и никому не рекомендую этого делать — не первый прецедент вредоносного дополнения. На мобильных устройствах только официальный клиент с нормального места, безопасность сторонних программ и «скачанных бесплатно» с непонятных сайтов никто не гарантирует.
Кстати, словосочетание типа «скачать бесплатно», автоматически предлагаемое поисковиками при вводе запроса, касающегося какого-либо ПО, также с большой вероятностью приведет к «заразному» сайту
Алексей Моторин
Слону понятно, что будет если вводишь свои данные. Просто нужно создать левый аккаунт специально для приложения и наслаждаться обилием медиа контента в ВК. 😉
Dan
Добрый день! Я полгода назад скачал melody player из эпстор на 4 айфон. Месяц назад программа гачала требовать логин и пароль от вконтакте чтобы скачивать из вк новую музыку. Сегодня ввел, потом требовала телефон для подтверждения, тоже ввел. Скажите эта программа безопасна для меня и стоит ли мне менять пароль от страницы вконтакте? Ответьте на почту пожалуйста тоже. Спасибо
EK
Если возник такой вопрос, менять или нет, то точно стоит сменить.