安全動態(tài)

Google 商店緊急下架多款 App :數(shù)百萬次下載量,針對俄羅斯社交媒體 VK.com 竊取登錄憑證

來源:聚銘網(wǎng)絡    發(fā)布時間:2017-12-15    瀏覽次數(shù):
 

信息來源:cismag


谷歌3.jpeg

12月15日消息,安全研究人員在 Google Play 商店中發(fā)現(xiàn)了至少 85 個旨在竊取俄羅斯社交網(wǎng)絡 VK.com 用戶證書的應用程序,這些應用程序累計已被下載數(shù)百萬次。即使經(jīng)過 Google 的不懈努力(如啟動漏洞賞金計劃、阻止應用程序使用 Android 的輔助功能等),惡意應用程序還是能夠以某種方式進入 Google 商店并設法通過惡意軟件感染用戶。因此研究人員強烈建議用戶在下載應用程序時,一定要保持高度警惕。

調查結果顯示,這些惡意應用程序中包含一款非常流行的游戲應用程序,其下載量已超過一百萬次。 卡巴斯基實驗室在周二發(fā)布的分析報告中表示,這個應用程序最初在 2017 年 3 月上傳時只是一個沒有任何惡意代碼的游戲應用程序。  然而7個多月之后幕后團隊卻為其增加了信息竊取功能。

除了這款游戲外, 其他應用程序于 2017 年 10 月被上傳到 Play 商店。據(jù)統(tǒng)計顯示,其中有 7 個應用程序下載安裝數(shù)量達到 1-10 萬次、另有 9 個下載安裝量在 1,000 – 1 萬次之間,其余應用的下載量則不足 1000 次。

網(wǎng)絡犯罪分子如何竊取賬戶憑證

由于 VK.com 主要在獨聯(lián)體國家的用戶中流行,因此惡意應用程序主要針對的是使用俄羅斯、烏克蘭、羅馬尼亞,白俄羅斯等國語言的用戶群體。

分析結果顯示,這些應用程序使用 VK.com 的官方 SDK,但會利用惡意 JavaScript 代碼稍作修改,從 VK 的標準登錄頁面中竊取用戶憑據(jù),并將其傳遞回自身應用程序中。這些頁面與來自 VK.com 的標準登錄頁面非常相似,因此普通用戶很難發(fā)現(xiàn)其中可疑之處,而被盜的證書會在被加密后上傳到由網(wǎng)絡犯罪分子控制的遠程服務器中。

有趣的是,這些惡意軟件還使用了 OnPageFinished 方法中的惡意 JS 代碼,但這不僅用于提取憑據(jù),而且還被用于數(shù)據(jù)上傳。

研究人員認為,網(wǎng)絡犯罪分子使用被盜用戶的憑證主要是為了在 VK.com 上 推廣各類用戶群組、提高一些賬戶或群組的 “ 知名度 ”,即類似于國內社交媒體中流行的 “ 漲粉 ” 活動。此外,研究人員還指出,他們還在 Google Play 商店中發(fā)現(xiàn)了幾個由同一網(wǎng)絡犯罪分子提交的應用程序,比如以非官方身份通過電子郵件發(fā)布假的 Telegram 應用等。

這些偽裝成 Telegram 的應用程序實際上是用 Telegram 的開源 SDK 構建的,但幾乎和其他的應用程序一樣。它們會根據(jù)從服務器上收到的列表添加受感染的用戶來推廣群組/聊天。

如何保護設備免受這些惡意應用程序的侵害

卡巴斯基報告中指出,目前發(fā)現(xiàn)的所有惡意程序包括竊取憑證的應用程序(檢測為Trojan-PSW.AndroidOS.MyVk.o)和惡意的 Telegram 客戶端(檢測為非病毒:HEUR:RiskTool.AndroidOS.Hcatam.a ) 等都已經(jīng)被 Google Play 商店刪除,而已經(jīng)在移動設備上安裝了上述應用程序的用戶可啟用 Google Play Protect 保護功能卸載惡意程序,以保障自身設備安全。

    同時,研究人員提醒用戶除了盡量選擇從官方渠道下載安裝應用程序外,最好能夠養(yǎng)成下載前核對 APP 開發(fā)者、查看下載量和參考其他用戶評論、以及確認應用程序權限等良好習慣。


 
 

上一篇:谷歌成立AI中國中心,AI人才爭奪白熱化

下一篇:2017年12月15日 聚銘安全速遞