«Лаборатория Касперского» сообщила, что выявила масштабную операцию по хищению учетных данных пользователей самой популярной российской социальной сети «ВКонтакте». Компания утверждает, что кража информации осуществлялась через сервис для прослушивания музыки «Музыка ВКонтакте», размещенный в Google Play.
Как выяснили эксперты Лаборатории, приложение содержало вредоносный код. Пользователи не догадывались об этом, поскольку приложение исправно работало и выполняло свою основную функцию - проигрывало аудиозаписи из соцсети. По оценкам «Лаборатории Касперского», жертвами этого вредоносного приложения могли стать сотни тысяч пользователей Android-устройств, преимущественно из России.
Компания уведомила Google о вредоносном приложении, после чего оно было удалено из магазина. Группы, продвигаемые с помощью троянца, были заблокированы администрацией социальной сети, которую "Лаборатория Каперского" проинформировала о вредоносном приложении.
Иллюстрация Depositphotos
Как происходила кража данных
Сразу после запуска «Музыка ВКонтакте» просила пользователя ввести свой логин и пароль к аккаунту «ВКонтакте», чтобы приложение могло работать в соцсети. После этого сервис отправлял данные на легитимный сервер аутентификации oauth.vk.com. Если аутентификация проходила успешно, человек мог слушать музыку, выложенную в соцсети. А "троян" тем временем отправлял проверенные логин и пароль на сервер злоумышленников.
После этого "троян" обращался к своему серверу за списком групп, продвижением которых занимаются злоумышленники. В эти группы он тут же добавлял похищенный аккаунт пользователя. Помимо продвижения групп, получившие пароль могли использовать украденные аккаунты по своему усмотрению.
Как происходило "заражение" вирусом
Первая из известных "Лаборатории Касперского" версий «Музыка ВКонтакте» была опубликована в Google Play 16 августа этого года,. Далее версии меняли, как правило, раз в 6-10 дней. Все сервисы различались только именем пакета, функциональность приложения оставалась неизменной.
Самая последняя из версий программы была опубликована 4 октября. Это была как минимум седьмая версия вредоносного приложения - предыдущие шесть ранее были удалены Google. Последний вариант приложения уже на следующий день имел средний балл 4.5 при более чем 600 оценках пользователей. По информации Google Play, за два дня эту версию скачали от 100 000 до 500 000 пользователей.
По данным "Лаборатории Касперского", популярность одной из более старых версий была в 10 раз выше. По мнению специалистов, это может означать, что только этой версией могли быть заражены устройства сотен тысяч пользователей.