據(jù)外媒報(bào)道，安全研究人員在Google Play商店中發(fā)現(xiàn)了至少85個旨在竊取俄羅斯社交網(wǎng)絡(luò)VK.com用戶證書的應(yīng)用程序，這些應(yīng)用程序累計(jì)已被下載數(shù)百萬次。即使經(jīng)過Google的不懈努力（如啟動漏洞賞金計(jì)劃、阻止應(yīng)用程序使用Android的輔助功能等），惡意應(yīng)用程序還是能夠以某種方式進(jìn)入Google商店并設(shè)法通過惡意軟件感染用戶。因此研究人員強(qiáng)烈建議用戶在下載應(yīng)用程序時，一定要保持高度警惕。

調(diào)查結(jié)果顯示，這些惡意應(yīng)用程序中包含一款非常流行的游戲應(yīng)用程序，其下載量已超過一百萬次。 卡巴斯基實(shí)驗(yàn)室在周二發(fā)布的分析報(bào)告中表示，這個應(yīng)用程序最初在 2017 年 3 月上傳時只是一個沒有任何惡意代碼的游戲應(yīng)用程序。 然而7個多月之后幕后團(tuán)隊(duì)卻為其增加了信息竊取功能。

除了這款游戲外， 其他應(yīng)用程序于2017年10月被上傳到Play商店。據(jù)統(tǒng)計(jì)顯示，其中有7個應(yīng)用程序下載安裝數(shù)量達(dá)到1-10萬次、另有9個下載安裝量在1,000–1萬次之間，其余應(yīng)用的下載量則不足1000次。

由于VK.com主要在獨(dú)聯(lián)體國家的用戶中流行，因此惡意應(yīng)用程序主要針對的是使用俄羅斯、烏克蘭、羅馬尼亞，白俄羅斯等國語言的用戶群體。

分析結(jié)果顯示，這些應(yīng)用程序使用VK.com的官方SDK，但會利用惡意JavaScript代碼稍作修改，從VK的標(biāo)準(zhǔn)登錄頁面中竊取用戶憑據(jù)，并將其傳遞回自身應(yīng)用程序中。這些頁面與來自VK.com的標(biāo)準(zhǔn)登錄頁面非常相似，因此普通用戶很難發(fā)現(xiàn)其中可疑之處，而被盜的證書會在被加密后上傳到由網(wǎng)絡(luò)犯罪分子控制的遠(yuǎn)程服務(wù)器中。

有趣的是，這些惡意軟件還使用了OnPageFinished方法中的惡意JS代碼，但這不僅用于提取憑據(jù)，而且還被用于數(shù)據(jù)上傳。

研究人員認(rèn)為，網(wǎng)絡(luò)犯罪分子使用被盜用戶的憑證主要是為了在VK.com上推廣各類用戶群組、提高一些賬戶或群組的“ 知名度 ”，即類似于國內(nèi)社交媒體中流行的“ 漲粉 ” 活動。此外，研究人員還指出，他們還在Google Play商店中發(fā)現(xiàn)了幾個由同一網(wǎng)絡(luò)犯罪分子提交的應(yīng)用程序，比如以非官方身份通過電子郵件發(fā)布假的Telegram應(yīng)用等。

這些偽裝成Telegram的應(yīng)用程序?qū)嶋H上是用Telegram的開源SDK構(gòu)建的，但幾乎和其他的應(yīng)用程序一樣。它們會根據(jù)從服務(wù)器上收到的列表添加受感染的用戶來推廣群組/聊天。

卡巴斯基報(bào)告中指出，目前發(fā)現(xiàn)的所有惡意程序包括竊取憑證的應(yīng)用程序（檢測為Trojan-PSW.AndroidOS.MyVk.o）和惡意的 Telegram 客戶端（檢測為非病毒：HEUR：RiskTool.AndroidOS.Hcatam.a ） 等都已經(jīng)被 Google Play 商店刪除，而已經(jīng)在移動設(shè)備上安裝了上述應(yīng)用程序的用戶可啟用 Google Play Protect 保護(hù)功能卸載惡意程序，以保障自身設(shè)備安全。

同時，研究人員提醒用戶除了盡量選擇從官方渠道下載安裝應(yīng)用程序外，最好能夠養(yǎng)成下載前核對 APP 開發(fā)者、查看下載量和參考其他用戶評論、以及確認(rèn)應(yīng)用程序權(quán)限等良好習(xí)慣。