«Угоны» продолжаются

Два года назад, в октябре 2015-го, в своем блоге мы рассказали о зловреде, который распространялся в магазине приложений Google Play. За следующие два года нам попалось еще несколько подобных зловредов, а всего за два месяца этого года (октябрь и ноябрь) мы нашли 85 новых приложений, с помощью которых злоумышленники крали учетные данные социальной сети «ВКонтакте». Решения «Лаборатории Касперского» детектируют их как Trojan-PSW.AndroidOS.MyVk.o. Мы сообщили о 72 из них в Google, после чего их убрали из магазина (остальные 13 к тому моменту уже были удалены). Кроме того, мы передали информацию об этих приложениях, включая технические детали, администрации «ВКонтакте». Чтобы вы представили себе масштаб бедствия: один из зловредов, маскировавшийся под игру, был установлен (согласно статистике Google Play) больше миллиона раз.

Одно из вредоносных приложений распространялось под видом игры

Другие приложения тоже пользовались популярностью: семь из них было установлено от 10 000 до 100 000 раз, еще девять — от 1000 до 10 000 раз. Остальные могли похвастаться не более чем 1000 установок. Как правило, вредоносные приложения предназначены для прослушивания музыки или отслеживания гостей на странице профиля в социальной сети.

Приложение, детектируемое как Trojan-PSW.AndroidOS.MyVk.o, в магазине Google Play

Большинство зараженных приложений появились в магазине Google Play в октябре 2017 года, но некоторые были загружены туда еще в июле. Интересно, что самое популярное из них было опубликовано еще в марте, без вредоносного кода, — это была обычная игра. Киберпреступники обновили ее до вредоносной версии уже в октябре, выждав более семи месяцев!

Приложение, определенное как Trojan-PSW.AndroidOS.MyVk.o, в магазине Google Play

Само собой, приложения такого типа требуют от пользователя входа в учетную запись, поэтому они и не вызывали подозрений. Никак не были связаны с социальной сетью «ВКонтакте» лишь игры. Так как «ВКонтакте» популярнее всего в странах СНГ, злоумышленники использовали проверку языка системы и запрашивали данные от учетной записи только у тех, кто пользовался русским, украинским, казахским, армянским, азербайджанским, белорусским, киргизским, румынским, таджикским или узбекским интерфейсом.

Так троянец проверяет язык устройства

Вредоносные приложения публиковались в магазине Google Play больше двух лет, поэтому их авторам приходилось каждый раз менять код, чтобы проходить проверки Google. В этот раз они использовали модифицированный набор средств разработки самого «ВКонтакте», но с небольшой «добавкой»: пользователь вводил свои данные на стандартной странице входа VK, но они тут же передавались обратно в зараженное приложение через вредоносный JavaScript:

Затем троянец шифровал учетные данные и загружал их на веб-сайт злоумышленников:

Интересный момент: большинство приложений работало именно так, как мы описали, но в некоторых вредоносный JavaScript в методе OnPageFinished отвечал не только за извлечение учетных данных, но и за их загрузку.

Вредоносный код JavaScript, посредством которого троянец собирает учетные данные «ВКонтакте» и загружает их

Как мы полагаем, киберпреступники используют краденые учетные данные для продвижения определенных групп «ВКонтакте», незаметно добавляя в них пользователей (некоторые жаловались, что оказывались в незнакомых группах сами того не желая). Кроме того, нам удалось обнаружить несколько приложений, представляющие собой неофициальные клиенты для Telegram, которые тоже добавляют пользователей в группы, и были созданы теми же злоумышлениками. Продукты «Лаборатории Касперского» определяют их как not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a. Мы уведомили компанию Google об этих приложениях и они также были удалены из магазина Google Play.

Not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a в магазине Google Play

Зловреды не просто выдавали себя за клиенты Telegram — преступники действительно разработали их на основе Telegram SDK и это вполне работоспособные мессенджеры, но с одним отличием: они добавляют пользователя в продвигаемые злоумышленниками группы и чаты, список которых получают со своего сервера. А чтобы получить возможность отправлять команды в любое время, киберпреступники похищали GCM-токен из приложения.

Другое интересное открытие касается веб-сайта злоумышленников — extensionsapiversion.space. Согласно статистике сети KSN, иногда этот домен применялся для майнинга криптовалют с помощью API с веб-сайта http://coinhive.com.

Выражаем благодарность Александру Денькову за помощь в обнаружении этого зловреда.

КОМАНДНЫЕ СЕРВЕРЫ

• extensionsapiversion.space
• guest-stat.com

ПРИЛОЖЕНИЯ