信息來源：cismag

12月15日消息，安全研究人員在 Google Play 商店中發(fā)現(xiàn)了至少 85 個旨在竊取俄羅斯社交網絡 VK.com 用戶證書的應用程序，這些應用程序累計已被下載數百萬次。即使經過 Google 的不懈努力（如啟動漏洞賞金計劃、阻止應用程序使用 Android 的輔助功能等），惡意應用程序還是能夠以某種方式進入 Google 商店并設法通過惡意軟件感染用戶。因此研究人員強烈建議用戶在下載應用程序時，一定要保持高度警惕。

調查結果顯示，這些惡意應用程序中包含一款非常流行的游戲應用程序，其下載量已超過一百萬次。 卡巴斯基實驗室在周二發(fā)布的分析報告中表示，這個應用程序最初在 2017 年 3 月上傳時只是一個沒有任何惡意代碼的游戲應用程序。  然而7個多月之后幕后團隊卻為其增加了信息竊取功能。

除了這款游戲外， 其他應用程序于 2017 年 10 月被上傳到 Play 商店。據統(tǒng)計顯示，其中有 7 個應用程序下載安裝數量達到 1-10 萬次、另有 9 個下載安裝量在 1,000 – 1 萬次之間，其余應用的下載量則不足 1000 次。

網絡犯罪分子如何竊取賬戶憑證

由于 VK.com 主要在獨聯(lián)體國家的用戶中流行，因此惡意應用程序主要針對的是使用俄羅斯、烏克蘭、羅馬尼亞，白俄羅斯等國語言的用戶群體。

分析結果顯示，這些應用程序使用 VK.com 的官方 SDK，但會利用惡意 JavaScript 代碼稍作修改，從 VK 的標準登錄頁面中竊取用戶憑據，并將其傳遞回自身應用程序中。這些頁面與來自 VK.com 的標準登錄頁面非常相似，因此普通用戶很難發(fā)現(xiàn)其中可疑之處，而被盜的證書會在被加密后上傳到由網絡犯罪分子控制的遠程服務器中。

有趣的是，這些惡意軟件還使用了 OnPageFinished 方法中的惡意 JS 代碼，但這不僅用于提取憑據，而且還被用于數據上傳。

研究人員認為，網絡犯罪分子使用被盜用戶的憑證主要是為了在 VK.com 上 推廣各類用戶群組、提高一些賬戶或群組的 “ 知名度 ”，即類似于國內社交媒體中流行的 “ 漲粉 ” 活動。此外，研究人員還指出，他們還在 Google Play 商店中發(fā)現(xiàn)了幾個由同一網絡犯罪分子提交的應用程序，比如以非官方身份通過電子郵件發(fā)布假的 Telegram 應用等。

這些偽裝成 Telegram 的應用程序實際上是用 Telegram 的開源 SDK 構建的，但幾乎和其他的應用程序一樣。它們會根據從服務器上收到的列表添加受感染的用戶來推廣群組/聊天。

如何保護設備免受這些惡意應用程序的侵害

卡巴斯基報告中指出，目前發(fā)現(xiàn)的所有惡意程序包括竊取憑證的應用程序（檢測為Trojan-PSW.AndroidOS.MyVk.o）和惡意的 Telegram 客戶端（檢測為非病毒：HEUR：RiskTool.AndroidOS.Hcatam.a ） 等都已經被 Google Play 商店刪除，而已經在移動設備上安裝了上述應用程序的用戶可啟用 Google Play Protect 保護功能卸載惡意程序，以保障自身設備安全。

    同時，研究人員提醒用戶除了盡量選擇從官方渠道下載安裝應用程序外，最好能夠養(yǎng)成下載前核對 APP 開發(fā)者、查看下載量和參考其他用戶評論、以及確認應用程序權限等良好習慣。