Написал 09.10.2015 в 16:56 • (Ур. 10)
Согласно известной китайской поговорке, «Путь в тысячу ли начинается с одного
шага». Наш путь к выявлению масштабного хищения личных данных
пользователей социальной сети «ВКонтакте» начался с письма пользователя,
приславшего нам для изучения подозрительное приложение.
На первый взгляд, исследуемое приложение «Музыка ВКонтакте» содержало лишь
заявленную легитимную функцию — проигрывание аудиозаписей, выложенных в
социальной сети. Но дальнейшее исследование показало, что оно содержит
также вредоносный код, предназначенный для кражи аккаунта пользователя в
социальной сети «ВКонтакте» и продвижения в этой сети определенных
групп.
Скачать приложение «Музыка ВКонтакте» можно было в официальном магазине приложений Google Play. По нашим оценкам, с помощью этого приложения
злоумышленники могли похитить аккаунты сотен тысяч пользователей
социальной сети.
Принцип работы вредоносной программы
Сразу после запуска, «Музыка ВКонтакте» просит ввести свой логин и пароль к
аккаунту «ВКонтакте», чтобы приложение могло работать в социальной сети.
После того как пользователь вводит свои логин и пароль, приложение отправляет их на легитимный сервер аутентификации oauth.vk.com. Если
аутентификация прошла успешно, пользователь действительно может слушать
музыку, выложенную в социальной сети. А троянец тем временем отправляет
проверенные логин и пароль на сервер злоумышленников — обычным текстом.
Отметим, что такой способ передачи логина и пароля может привести к их повторной краже другими злоумышленниками, так как не используется
безопасный протокол HTTPS.
После этого троянец обращается к своему серверу за списком групп, продвижением которых занимаются
злоумышленники. В эти группы он тут же добавляет похищенный аккаунт
пользователя.
Помимо продвижения групп, злоумышленники могут менять пароль и использовать украденные аккаунты по своему усмотрению:
нам известны случаи, когда у жертвы троянца через некоторое время
пропадал доступ к аккаунту «ВКонтакте».
Массовое заражение
Как уже было сказано выше, скачать приложение «Музыка ВКонтакте» можно было в официальном магазине приложений Google Play. Подобные приложения
пользуются большой популярностью у пользователей Android.
Первая из известных нам версий вредоносного приложения «Музыка ВКонтакте» была опубликована в Google Play 16 августа 2015 года, далее
версии меняли, как правило, раз в 6-10 дней. Все версии различались
только именем пакета, функциональность приложения оставалась неизменной.
Самая последняя из известных нам версий была опубликована 4 октября. Это была
как минимум седьмая версия вредоносного приложения, предыдущие шесть
ранее были удалены Google. В то же время, судя по данным из кода
троянца, это была уже 15-я версия приложения. Мы не можем утверждать,
что все эти версии были размещены в Google Play, мы видели только семь
из них.
Ситуацию усугубляет легкость, с которой злоумышленники выкладывают каждую новую версию этого троянца взамен заблокированной.
Опубликованная 4 октября версия приложения уже на следующий день имела средний балл 4.5 при более чем 600 оценках пользователей.
По информации с Google Play, всего за два дня последнюю версию приложения скачали от 100 000 до 500 000 пользователей. По нашим данным,
популярность одной из более старых версий была в 10 раз выше — это
может означать, что только этой версией могли быть заражены устройства
сотен тысяч пользователей.
Последствия
Для пользователя сам факт кражи данных для авторизации в социальной сети «ВКонтакте» останется
незамеченным, пока злоумышленники не решат воспользоваться этими данными
и не сменят логин/пароль или не начнут рассылать спам с украденного
аккаунта.
Мы призываем пользователей быть бдительными и не вводить логин и пароль в сторонних приложениях. Если у вас было установлено
приложение «Музыка ВКонтакте» или подобное приложение для прослушивания
музыки в социальной сети «ВКонтакте», рекомендуем удалить его и срочно
сменить логин и пароль к аккаунту в этой сети.
Мы сообщили Google о последней выложенной версии вредоносного приложения, и она была
удалена. Группы, продвигаемые с помощью троянца, были заблокированы
администрацией социальной сети, которую мы также проинформировали о
вредоносном приложении.
Все версии вредоносного приложения детектируются продуктами «Лаборатории Касперского» как Trojan-PSW.AndroidOS.MyVk.a.
Цитата Касперский Выражаем благодарность Александру Денькову за помощь в обнаружении этого зловреда.
Продажа сообществ, аккаунтов в соцсетях
|
Написал 09.10.2015 в 22:36 • (Ур. 1)
У меня это приложение стояло на телефоне 
Уже бегу менять пароль…
|
Написал 13.10.2015 в 18:34 • (Ур. 1)
Я тоже попался на эту "удочку"…
Спасибо, что предупредили - я уже поменял пароль)
|
Написал 13.10.2015 в 18:51 • (Ур. 2)
Хорошо то что у меня AVAST ))
|
Написал 13.10.2015 в 18:55 • (Ур. 10)
naporov, ты думаешь аваст что то замечал? Если бы замечал, то бы давно из плей маркета выкинули…
|
Написал 18.10.2015 в 22:39 • (Ур. 1)
|
Никита192
yanaz146
Kenzo104