Описание вредоносного ПО

«Угоны» продолжаются

Два года назад, в октябре 2015-го, в своем блоге мы рассказали о зловреде, который распространялся в магазине приложений Google Play. За следующие два года нам попалось еще несколько подобных зловредов, а всего за два месяца этого года (октябрь и ноябрь) мы нашли 85 новых приложений, с помощью которых злоумышленники крали учетные данные социальной сети «ВКонтакте». Решения «Лаборатории Касперского» детектируют их как Trojan-PSW.AndroidOS.MyVk.o. Мы сообщили о 72 из них в Google, после чего их убрали из магазина (остальные 13 к тому моменту уже были удалены). Кроме того, мы передали информацию об этих приложениях, включая технические детали, администрации «ВКонтакте». Чтобы вы представили себе масштаб бедствия: один из зловредов, маскировавшийся под игру, был установлен (согласно статистике Google Play) больше миллиона раз.

Одно из вредоносных приложений распространялось под видом игры

Другие приложения тоже пользовались популярностью: семь из них было установлено от 10 000 до 100 000 раз, еще девять — от 1000 до 10 000 раз. Остальные могли похвастаться не более чем 1000 установок. Как правило, вредоносные приложения предназначены для прослушивания музыки или отслеживания гостей на странице профиля в социальной сети.

Приложение, детектируемое как Trojan-PSW.AndroidOS.MyVk.o, в магазине Google Play

Большинство зараженных приложений появились в магазине Google Play в октябре 2017 года, но некоторые были загружены туда еще в июле. Интересно, что самое популярное из них было опубликовано еще в марте, без вредоносного кода, — это была обычная игра. Киберпреступники обновили ее до вредоносной версии уже в октябре, выждав более семи месяцев!

Приложение, определенное как Trojan-PSW.AndroidOS.MyVk.o, в магазине Google Play

Само собой, приложения такого типа требуют от пользователя входа в учетную запись, поэтому они и не вызывали подозрений. Никак не были связаны с социальной сетью «ВКонтакте» лишь игры. Так как «ВКонтакте» популярнее всего в странах СНГ, злоумышленники использовали проверку языка системы и запрашивали данные от учетной записи только у тех, кто пользовался русским, украинским, казахским, армянским, азербайджанским, белорусским, киргизским, румынским, таджикским или узбекским интерфейсом.

Так троянец проверяет язык устройства

Вредоносные приложения публиковались в магазине Google Play больше двух лет, поэтому их авторам приходилось каждый раз менять код, чтобы проходить проверки Google. В этот раз они использовали модифицированный набор средств разработки самого «ВКонтакте», но с небольшой «добавкой»: пользователь вводил свои данные на стандартной странице входа VK, но они тут же передавались обратно в зараженное приложение через вредоносный JavaScript:

Затем троянец шифровал учетные данные и загружал их на веб-сайт злоумышленников:

Интересный момент: большинство приложений работало именно так, как мы описали, но в некоторых вредоносный JavaScript в методе OnPageFinished отвечал не только за извлечение учетных данных, но и за их загрузку.

Вредоносный код JavaScript, посредством которого троянец собирает учетные данные «ВКонтакте» и загружает их

Как мы полагаем, киберпреступники используют краденые учетные данные для продвижения определенных групп «ВКонтакте», незаметно добавляя в них пользователей (некоторые жаловались, что оказывались в незнакомых группах сами того не желая). Кроме того, нам удалось обнаружить несколько приложений, представляющие собой неофициальные клиенты для Telegram, которые тоже добавляют пользователей в группы, и были созданы теми же злоумышлениками. Продукты «Лаборатории Касперского» определяют их как not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a. Мы уведомили компанию Google об этих приложениях и они также были удалены из магазина Google Play.

Not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a в магазине Google Play

Зловреды не просто выдавали себя за клиенты Telegram — преступники действительно разработали их на основе Telegram SDK и это вполне работоспособные мессенджеры, но с одним отличием: они добавляют пользователя в продвигаемые злоумышленниками группы и чаты, список которых получают со своего сервера. А чтобы получить возможность отправлять команды в любое время, киберпреступники похищали GCM-токен из приложения.

Другое интересное открытие касается веб-сайта злоумышленников — extensionsapiversion.space. Согласно статистике сети KSN, иногда этот домен применялся для майнинга криптовалют с помощью API с веб-сайта http://coinhive.com.

Выражаем благодарность Александру Денькову за помощь в обнаружении этого зловреда.

КОМАНДНЫЕ СЕРВЕРЫ

  • extensionsapiversion.space
  • guest-stat.com

ПРИЛОЖЕНИЯ

Имя пакета MD5
com.parmrp.rump F5F8DF1F35A942F9092BDE9F277B7120
com.weeclient.clientold 6B55AF8C4FB6968082CA2C88745043A1
com.anocat.stelth C70DCF9F0441E3230F2F338467CD9CB7
com.xclient.old 6D6B0B97FACAA2E6D4E985FA5E3332A1
com.junglebeat.musicplayer.offmus 238B6B7069815D0187C7F39E1114C38
com.yourmusicoff.yourmusickoff 1A623B3784256105333962DDCA50785F
com.sharp.playerru 1A7B22616C3B8223116B542D5AFD5C05
com.musicould.close 053E2CF49A5D818663D9010344AA3329
com.prostie.dvijenija 2B39B22EF2384F0AA529705AF68B1192
com.appoffline.musicplayer 6974770565C5F0FFDD52FC74F1BCA732
com.planeplane.paperplane 6CBC63CBE753B2E4CB6B9A8505775389

«Угоны» продолжаются

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике