Два года назад, в октябре 2015-го, в своем блоге мы рассказали о зловреде, который распространялся в магазине приложений Google Play. За следующие два года нам попалось еще несколько подобных зловредов, а всего за два месяца этого года (октябрь и ноябрь) мы нашли 85 новых приложений, с помощью которых злоумышленники крали учетные данные социальной сети «ВКонтакте». Решения «Лаборатории Касперского» детектируют их как Trojan-PSW.AndroidOS.MyVk.o. Мы сообщили о 72 из них в Google, после чего их убрали из магазина (остальные 13 к тому моменту уже были удалены). Кроме того, мы передали информацию об этих приложениях, включая технические детали, администрации «ВКонтакте». Чтобы вы представили себе масштаб бедствия: один из зловредов, маскировавшийся под игру, был установлен (согласно статистике Google Play) больше миллиона раз.
Одно из вредоносных приложений распространялось под видом игры
Другие приложения тоже пользовались популярностью: семь из них было установлено от 10 000 до 100 000 раз, еще девять — от 1000 до 10 000 раз. Остальные могли похвастаться не более чем 1000 установок. Как правило, вредоносные приложения предназначены для прослушивания музыки или отслеживания гостей на странице профиля в социальной сети.
Приложение, детектируемое как Trojan-PSW.AndroidOS.MyVk.o, в магазине Google Play
Большинство зараженных приложений появились в магазине Google Play в октябре 2017 года, но некоторые были загружены туда еще в июле. Интересно, что самое популярное из них было опубликовано еще в марте, без вредоносного кода, — это была обычная игра. Киберпреступники обновили ее до вредоносной версии уже в октябре, выждав более семи месяцев!
Приложение, определенное как Trojan-PSW.AndroidOS.MyVk.o, в магазине Google Play
Само собой, приложения такого типа требуют от пользователя входа в учетную запись, поэтому они и не вызывали подозрений. Никак не были связаны с социальной сетью «ВКонтакте» лишь игры. Так как «ВКонтакте» популярнее всего в странах СНГ, злоумышленники использовали проверку языка системы и запрашивали данные от учетной записи только у тех, кто пользовался русским, украинским, казахским, армянским, азербайджанским, белорусским, киргизским, румынским, таджикским или узбекским интерфейсом.
Так троянец проверяет язык устройства
Вредоносные приложения публиковались в магазине Google Play больше двух лет, поэтому их авторам приходилось каждый раз менять код, чтобы проходить проверки Google. В этот раз они использовали модифицированный набор средств разработки самого «ВКонтакте», но с небольшой «добавкой»: пользователь вводил свои данные на стандартной странице входа VK, но они тут же передавались обратно в зараженное приложение через вредоносный JavaScript:
Затем троянец шифровал учетные данные и загружал их на веб-сайт злоумышленников:
Интересный момент: большинство приложений работало именно так, как мы описали, но в некоторых вредоносный JavaScript в методе OnPageFinished отвечал не только за извлечение учетных данных, но и за их загрузку.
Вредоносный код JavaScript, посредством которого троянец собирает учетные данные «ВКонтакте» и загружает их
Как мы полагаем, киберпреступники используют краденые учетные данные для продвижения определенных групп «ВКонтакте», незаметно добавляя в них пользователей (некоторые жаловались, что оказывались в незнакомых группах сами того не желая). Кроме того, нам удалось обнаружить несколько приложений, представляющие собой неофициальные клиенты для Telegram, которые тоже добавляют пользователей в группы, и были созданы теми же злоумышлениками. Продукты «Лаборатории Касперского» определяют их как not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a. Мы уведомили компанию Google об этих приложениях и они также были удалены из магазина Google Play.
Not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a в магазине Google Play
Зловреды не просто выдавали себя за клиенты Telegram — преступники действительно разработали их на основе Telegram SDK и это вполне работоспособные мессенджеры, но с одним отличием: они добавляют пользователя в продвигаемые злоумышленниками группы и чаты, список которых получают со своего сервера. А чтобы получить возможность отправлять команды в любое время, киберпреступники похищали GCM-токен из приложения.
Другое интересное открытие касается веб-сайта злоумышленников — extensionsapiversion.space. Согласно статистике сети KSN, иногда этот домен применялся для майнинга криптовалют с помощью API с веб-сайта http://coinhive.com.
Выражаем благодарность Александру Денькову за помощь в обнаружении этого зловреда.
КОМАНДНЫЕ СЕРВЕРЫ
- extensionsapiversion.space
- guest-stat.com
ПРИЛОЖЕНИЯ
Имя пакета | MD5 |
com.parmrp.rump | F5F8DF1F35A942F9092BDE9F277B7120 |
com.weeclient.clientold | 6B55AF8C4FB6968082CA2C88745043A1 |
com.anocat.stelth | C70DCF9F0441E3230F2F338467CD9CB7 |
com.xclient.old | 6D6B0B97FACAA2E6D4E985FA5E3332A1 |
com.junglebeat.musicplayer.offmus | 238B6B7069815D0187C7F39E1114C38 |
com.yourmusicoff.yourmusickoff | 1A623B3784256105333962DDCA50785F |
com.sharp.playerru | 1A7B22616C3B8223116B542D5AFD5C05 |
com.musicould.close | 053E2CF49A5D818663D9010344AA3329 |
com.prostie.dvijenija | 2B39B22EF2384F0AA529705AF68B1192 |
com.appoffline.musicplayer | 6974770565C5F0FFDD52FC74F1BCA732 |
com.planeplane.paperplane | 6CBC63CBE753B2E4CB6B9A8505775389 |
«Угоны» продолжаются