信息來(lái)源:cismag
12月15日消息����,安全研究人員在 Google Play 商店中發(fā)現(xiàn)了至少 85 個(gè)旨在竊取俄羅斯社交網(wǎng)絡(luò) VK.com 用戶證書(shū)的應(yīng)用程序,這些應(yīng)用程序累計(jì)已被下載數(shù)百萬(wàn)次�。即使經(jīng)過(guò) Google 的不懈努力(如啟動(dòng)漏洞賞金計(jì)劃�����、阻止應(yīng)用程序使用 Android 的輔助功能等)��,惡意應(yīng)用程序還是能夠以某種方式進(jìn)入 Google 商店并設(shè)法通過(guò)惡意軟件感染用戶�����。因此研究人員強(qiáng)烈建議用戶在下載應(yīng)用程序時(shí)��,一定要保持高度警惕���。
調(diào)查結(jié)果顯示��,這些惡意應(yīng)用程序中包含一款非常流行的游戲應(yīng)用程序��,其下載量已超過(guò)一百萬(wàn)次��。 卡巴斯基實(shí)驗(yàn)室在周二發(fā)布的分析報(bào)告中表示�����,這個(gè)應(yīng)用程序最初在 2017 年 3 月上傳時(shí)只是一個(gè)沒(méi)有任何惡意代碼的游戲應(yīng)用程序���。 然而7個(gè)多月之后幕后團(tuán)隊(duì)卻為其增加了信息竊取功能。
除了這款游戲外�����, 其他應(yīng)用程序于 2017 年 10 月被上傳到 Play 商店�����。據(jù)統(tǒng)計(jì)顯示�����,其中有 7 個(gè)應(yīng)用程序下載安裝數(shù)量達(dá)到 1-10 萬(wàn)次、另有 9 個(gè)下載安裝量在 1,000 – 1 萬(wàn)次之間�����,其余應(yīng)用的下載量則不足 1000 次�����。
網(wǎng)絡(luò)犯罪分子如何竊取賬戶憑證
由于 VK.com 主要在獨(dú)聯(lián)體國(guó)家的用戶中流行��,因此惡意應(yīng)用程序主要針對(duì)的是使用俄羅斯���、烏克蘭�����、羅馬尼亞��,白俄羅斯等國(guó)語(yǔ)言的用戶群體���。
分析結(jié)果顯示,這些應(yīng)用程序使用 VK.com 的官方 SDK�����,但會(huì)利用惡意 JavaScript 代碼稍作修改,從 VK 的標(biāo)準(zhǔn)登錄頁(yè)面中竊取用戶憑據(jù)����,并將其傳遞回自身應(yīng)用程序中。這些頁(yè)面與來(lái)自 VK.com 的標(biāo)準(zhǔn)登錄頁(yè)面非常相似��,因此普通用戶很難發(fā)現(xiàn)其中可疑之處��,而被盜的證書(shū)會(huì)在被加密后上傳到由網(wǎng)絡(luò)犯罪分子控制的遠(yuǎn)程服務(wù)器中�����。
有趣的是��,這些惡意軟件還使用了 OnPageFinished 方法中的惡意 JS 代碼����,但這不僅用于提取憑據(jù)��,而且還被用于數(shù)據(jù)上傳���。
研究人員認(rèn)為����,網(wǎng)絡(luò)犯罪分子使用被盜用戶的憑證主要是為了在 VK.com 上 推廣各類用戶群組、提高一些賬戶或群組的 “ 知名度 ”�,即類似于國(guó)內(nèi)社交媒體中流行的 “ 漲粉 ” 活動(dòng)。此外����,研究人員還指出,他們還在 Google Play 商店中發(fā)現(xiàn)了幾個(gè)由同一網(wǎng)絡(luò)犯罪分子提交的應(yīng)用程序�����,比如以非官方身份通過(guò)電子郵件發(fā)布假的 Telegram 應(yīng)用等�����。
這些偽裝成 Telegram 的應(yīng)用程序?qū)嶋H上是用 Telegram 的開(kāi)源 SDK 構(gòu)建的����,但幾乎和其他的應(yīng)用程序一樣。它們會(huì)根據(jù)從服務(wù)器上收到的列表添加受感染的用戶來(lái)推廣群組/聊天�。
如何保護(hù)設(shè)備免受這些惡意應(yīng)用程序的侵害
卡巴斯基報(bào)告中指出,目前發(fā)現(xiàn)的所有惡意程序包括竊取憑證的應(yīng)用程序(檢測(cè)為T(mén)rojan-PSW.AndroidOS.MyVk.o)和惡意的 Telegram 客戶端(檢測(cè)為非病毒:HEUR:RiskTool.AndroidOS.Hcatam.a ) 等都已經(jīng)被 Google Play 商店刪除�,而已經(jīng)在移動(dòng)設(shè)備上安裝了上述應(yīng)用程序的用戶可啟用 Google Play Protect 保護(hù)功能卸載惡意程序,以保障自身設(shè)備安全��。
同時(shí),研究人員提醒用戶除了盡量選擇從官方渠道下載安裝應(yīng)用程序外�,最好能夠養(yǎng)成下載前核對(duì) APP 開(kāi)發(fā)者、查看下載量和參考其他用戶評(píng)論�����、以及確認(rèn)應(yīng)用程序權(quán)限等良好習(xí)慣���。
