В прошлом году эксперты «Лаборатории Касперского» выявили и проанализировали троянца Trojan-PSW.AndroidOS.MyVk.a, содержавшегося в популярном приложении «Музыка и Видео «ВКонтакте», которое прошло проверку Google Play. Зловред, маскировавшийся под легитимное приложение, был скачан в последней версии от 100 тыс. до 500 тыс. раз всего за два дня. Популярность прежних версий, по данным «Лаборатории», была в десять раз выше.

В результате дополнительной проверки магазина Google Play исследователи нашли еще одного троянца — Trojan-PSW.AndroidOS.Vkezo.a, также скачанного от 100 тыс. до 500 тыс. раз.

У нового троянца присутствовали некоторые характеристики MyVk: он выдавал себя за приложение для доступа к мультимедийному контенту «ВКонтакте». Помимо «исполнения прямых обязанностей» зловред крал учетные данные пользователей, запрашивая их при входе. Похищенные учетные данные могли быть использованы для продвижения групп без ведома пользователя. Кроме того, троянец мог изменять пароль и использовать похищенный аккаунт по усмотрению своих хозяев. При этом жертва может долгое время не подозревать о компрометации.

Как и предшественник, этот зловред был удален администрацией Google Play, но вскоре появился в новой инкарнации, и эта версия также имела от 100 тыс. до 500 тыс. загрузок. Выяснилось, что под разными именами орудовал один и тот же троянец — функциональность обеих версий была идентичной. Новый троянец получил вердикт Trojan-PSW.AndroidOS.Vkezo.b.

Однако одна из особенностей новой версии Vkezo была уникальной: в коде прописана «защита от правообладателей». Так как приложение позволяет загружать музыку и видео из кэша «ВКонтакте», им бы обязательно заинтересовались представители организаций, стоящих на защите авторских прав, — их жалобы было бы достаточно для удаления приложения из магазина Google Play.

Сразу после кражи логина и пароля троянец сверяет ID жертвы «ВКонтакте» с заранее сформированным списком пользователей. При совпадении троянец прерывает авторизацию, «перекидывает» пользователя на веб-версию соцсети и выдает сообщение об ошибке. Исследователи «Лаборатории» проверили страницы пользователей из черного списка Vkezo — практически все они работают в компании Warner Music Russia.

Троянец сообщается с двумя командными серверами — liker[.]in[.]ua и neural[.]in[.]ua. Хостинг уже предупрежден об использовании серверов для нелегитимной активности.

Категории: Аналитика, Вредоносные программы