在谷歌Play Store上发现了下载量超过100万次的密码窃取应用

安全研究人员在谷歌Play Store中发现了至少85个应用程序，这些应用程序旨在从俄罗斯社交网络VK的用户那里窃取凭据，这种情况再次发生。com，并成功下载了数百万次。

最受欢迎的一款伪装成游戏应用，下载量超过100万次。根据卡巴斯基实验室周二发布的一篇博文，该应用最初于2017年3月提交时，只是一款没有任何恶意代码的游戏应用。
However, after waiting for more than seven months, the malicious actors behind the app updated it with information-stealing capabilities in October 2017.

除了这款游戏应用，卡巴斯基的研究人员还在谷歌Play Store上发现了84款此类应用—；其中大部分在2017年10月被上传到Play Store，并窃取了VK的凭证。com用户。

其他在用户中非常流行的应用程序包括7个安装量在10000到100000之间的应用程序，9个安装量在1000到10000之间的应用程序，其余的都少于1000个安装量。

以下是网络罪犯如何窃取您的帐户凭据：

这些应用使用了VK的官方SDK。com，但使用恶意JavaScript代码对其进行了轻微修改，试图从VK的标准登录页面窃取用户凭据，并将其传递回应用程序。

因为这些应用看起来像来自VK。com–；对于听音乐或监控用户页面访问，要求用户通过标准登录页面登录其帐户看起来一点也不可疑。

被盗的凭证随后被加密并上传到攻击者控制的远程服务器。

卡巴斯基说：“有趣的是，尽管这些恶意应用中的大多数都有描述过的功能，但其中一些略有不同—；它们还使用了OnPageFinished方法中的恶意JS代码，但不仅用于提取凭据，还用于上传凭据。”。

研究人员认为，网络犯罪分子使用被盗的证件主要是为了宣传VK中的团体。com，因为他们收到一些感染用户的投诉，称他们的帐户被悄悄地添加到了未知的组中，所以他们通过添加用户来推广各种组，并通过这样做来提高其受欢迎程度。

这些应用背后的网络罪犯已经在Play Store上发布了两年多的恶意应用，所以他们所要做的就是修改应用以逃避检测。

自从VK。com主要在独联体国家的用户中流行，恶意应用的目标是俄罗斯、乌克兰、哈萨克、亚美尼亚、阿塞拜疆、罗马尼亚、白俄罗斯、吉尔吉斯、塔吉克和乌兹别克用户。

这些应用首先检查设备语言，并要求使用上述语言之一的用户提供登录凭据。

此外，研究人员还指出，他们在谷歌Play Store上发现了其他几个应用程序，这些应用程序由同一网络罪犯提交，并作为流行的消息应用Telegram的非官方客户端发布。

“这些应用程序不仅伪装成电报应用程序，它们实际上是使用开源电报SDK构建的，工作原理几乎与其他所有此类应用程序一样。”研究人员补充说，这些应用还根据从服务器收到的列表，将受感染的用户添加到推广的群组/聊天中。

如何保护您的设备免受此类恶意应用的攻击

所有应用程序，包括窃取凭证的应用程序（检测为特洛伊木马PSW.AndroidOS.MyVk.o）和恶意电报客户端（检测为非病毒：HEUR:RiskTool.AndroidOS.Hcatam.a），都已被谷歌从Play Store中删除。

然而，那些已经在移动设备上安装了上述应用之一的人应该确保他们的设备启用了Google Play Protect。

Play Protect是谷歌最新推出的安全功能，它使用机器学习和应用程序使用分析从用户安卓智能手机上删除（卸载）恶意应用程序，以防止进一步的伤害。

尽管这是一个永无止境的担忧，但保护自己的最佳方式是在从谷歌官方Play Store下载应用程序时始终保持警惕，并在下载应用程序之前始终验证应用程序权限和评论。

此外，强烈建议您在移动设备上始终保留一个良好的防病毒应用程序，可以在恶意应用程序感染您的设备之前检测并阻止它们，并始终保持设备和应用程序的最新状态。