Согласно результатам анализа, проведенного в «Лаборатории Касперского», доступное на Google Play приложение «Музыка «ВКонтакте» предназначено не только для проигрывания аудиозаписей, но также для кражи регистрационных данных и продвижения некоторых групп в этой соцсети. Число потенциальных жертв, по оценке исследователей, измеряется сотнями тысяч.

При запуске Android-зловред, детектируемый продуктами «Лаборатории» как Trojan-PSW.AndroidOS.MyVk.a, просит ввести логин и пароль к аккаунту «ВКонтакте». По свидетельству исследователей, эти данные вначале отправляются на законный сервер oauth.vk.com, и успешная аутентификация действительно позволяет слушать музыку, выложенную в соцсети. Тем временем подтвержденные данные отправляются на сервер атакующих, причем в открытом виде, что грозит перехватом со стороны других злоумышленников. При этом жертва может долгое время не подозревать о компрометации — пока похитители не решат воспользоваться украденными данными.

После кражи троянец запрашивает на своем сервере список групп для продвижения и добавляет в него аккаунт жертвы. Он также способен изменять пароль и использовать угнанный аккаунт по усмотрению своих хозяев.

Установлено, что первая версия троянизированного приложения «Музыка «ВКонтакте» (из обнаруженных «лаборантами») была опубликована в официальном Google Play 16 августа, затем злоумышленники выкладывали новые версии каждые 6–10 дней, меняя лишь имя. Самая последняя из известных версий была опубликована 4 октября, к тому времени все предыдущие были удалены. Исследователи отмечают, что, судя по записям в коде, это была уже пятнадцатая версия зловреда, хотя они зафиксировали лишь семь.

Согласно статистике Google Play, за два дня последнюю версию вредоносного приложения скачали от 100 тыс. до 500 тыс. пользователей. Популярность прежних версий, по данным «Лаборатории», была раз в 10 выше. Получив сообщение о новой находке, Google сняла и ее.

Группы «ВКонтакте», продвигаемые с помощью троянца, уже заблокированы. «Лаборанты» вновь напоминают пользователям о бдительности, а тем, кто установил «Музыку «ВКонтакте» или аналогичное приложение, рекомендуют его удалить и срочно сменить логин и пароль в этой социальной сети.

В качестве миниатюры используется скриншот из блог-записи на Securelist.ru.

Категории: Аналитика, Вредоносные программы, Главное