«Угоны» продолжаются

Два года назад, в октябре 2015-го, в своем блоге мы рассказали о зловреде, который распространялся в магазине приложений Google Play. За следующие два года нам попалось еще несколько подобных зловредов, а всего за два месяца этого года (октябрь и ноябрь) мы нашли 85 новых приложений, с помощью которых злоумышленники крали учетные данные социальной сети «ВКонтакте». Решения «Лаборатории Касперского» детектируют их как Trojan-PSW.AndroidOS.MyVk.o. Мы сообщили о 72 из них в Google, после чего их убрали из магазина (остальные 13 к тому моменту уже были удалены). Кроме того, мы передали информацию об этих приложениях, включая технические детали, администрации «ВКонтакте». Чтобы вы представили себе масштаб бедствия: один из зловредов, маскировавшийся под игру, был установлен (согласно статистике Google Play) больше миллиона раз.

Одно из вредоносных приложений распространялось под видом игры

Другие приложения тоже пользовались популярностью: семь из них было установлено от 10 000 до 100 000 раз, еще девять — от 1000 до 10 000 раз. Остальные могли похвастаться не более чем 1000 установок. Как правило, вредоносные приложения предназначены для прослушивания музыки или отслеживания гостей на странице профиля в социальной сети.

Приложение, детектируемое как Trojan-PSW.AndroidOS.MyVk.o, в магазине Google Play

Большинство зараженных приложений появились в магазине Google Play в октябре 2017 года, но некоторые были загружены туда еще в июле. Интересно, что самое популярное из них было опубликовано еще в марте, без вредоносного кода, — это была обычная игра. Киберпреступники обновили ее до вредоносной версии уже в октябре, выждав более семи месяцев!

Приложение, определенное как Trojan-PSW.AndroidOS.MyVk.o, в магазине Google Play

Само собой, приложения такого типа требуют от пользователя входа в учетную запись, поэтому они и не вызывали подозрений. Никак не были связаны с социальной сетью «ВКонтакте» лишь игры. Так как «ВКонтакте» популярнее всего в странах СНГ, злоумышленники использовали проверку языка системы и запрашивали данные от учетной записи только у тех, кто пользовался русским, украинским, казахским, армянским, азербайджанским, белорусским, киргизским, румынским, таджикским или узбекским интерфейсом.

Так троянец проверяет язык устройства

Вредоносные приложения публиковались в магазине Google Play больше двух лет, поэтому их авторам приходилось каждый раз менять код, чтобы проходить проверки Google. В этот раз они использовали модифицированный набор средств разработки самого «ВКонтакте», но с небольшой «добавкой»: пользователь вводил свои данные на стандартной странице входа VK, но они тут же передавались обратно в зараженное приложение через вредоносный JavaScript:

Затем троянец шифровал учетные данные и загружал их на веб-сайт злоумышленников:

Интересный момент: большинство приложений работало именно так, как мы описали, но в некоторых вредоносный JavaScript в методе OnPageFinished отвечал не только за извлечение учетных данных, но и за их загрузку.

Вредоносный код JavaScript, посредством которого троянец собирает учетные данные «ВКонтакте» и загружает их

Как мы полагаем, киберпреступники используют краденые учетные данные для продвижения определенных групп «ВКонтакте», незаметно добавляя в них пользователей (некоторые жаловались, что оказывались в незнакомых группах сами того не желая). Кроме того, нам удалось обнаружить несколько приложений, представляющие собой неофициальные клиенты для Telegram, которые тоже добавляют пользователей в группы, и были созданы теми же злоумышлениками. Продукты «Лаборатории Касперского» определяют их как not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a. Мы уведомили компанию Google об этих приложениях и они также были удалены из магазина Google Play.

Not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a в магазине Google Play

Зловреды не просто выдавали себя за клиенты Telegram — преступники действительно разработали их на основе Telegram SDK и это вполне работоспособные мессенджеры, но с одним отличием: они добавляют пользователя в продвигаемые злоумышленниками группы и чаты, список которых получают со своего сервера. А чтобы получить возможность отправлять команды в любое время, киберпреступники похищали GCM-токен из приложения.

Другое интересное открытие касается веб-сайта злоумышленников — extensionsapiversion.space. Согласно статистике сети KSN, иногда этот домен применялся для майнинга криптовалют с помощью API с веб-сайта http://coinhive.com.

Выражаем благодарность Александру Денькову за помощь в обнаружении этого зловреда.

КОМАНДНЫЕ СЕРВЕРЫ

  • extensionsapiversion.space
  • guest-stat.com

ПРИЛОЖЕНИЯ

Имя пакета MD5
com.parmrp.rump F5F8DF1F35A942F9092BDE9F277B7120
com.weeclient.clientold 6B55AF8C4FB6968082CA2C88745043A1
com.anocat.stelth C70DCF9F0441E3230F2F338467CD9CB7
com.xclient.old 6D6B0B97FACAA2E6D4E985FA5E3332A1
com.junglebeat.musicplayer.offmus 238B6B7069815D0187C7F39E1114C38
com.yourmusicoff.yourmusickoff 1A623B3784256105333962DDCA50785F
com.sharp.playerru 1A7B22616C3B8223116B542D5AFD5C05
com.musicould.close 053E2CF49A5D818663D9010344AA3329
com.prostie.dvijenija 2B39B22EF2384F0AA529705AF68B1192
com.appoffline.musicplayer 6974770565C5F0FFDD52FC74F1BCA732
com.planeplane.paperplane 6CBC63CBE753B2E4CB6B9A8505775389

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *