تطبيقات الأندرويد

تطبيقات على Google Play تسرق بيانات اعتماد VK.com

برنامج ضار مشهور تم توزيعه من متجر Google Play. خلال العامين التاليين ، اكتشفنا عدة تطبيقات مشابهة على Google Play ، ولكننا اكتشفنا في تشرين الأول (أكتوبر) وتشرين الثاني (نوفمبر) 2017 85 تطبيقًا ضارًا جديدًا على Google Play تسرق بيانات اعتماد VK.com.

وقد تم اكتشاف كل هذه المنتجات من قِبل منتجات Kaspersky Lab على أنها Trojan-PSW.AndroidOS.MyVk.  أبلغنا 72 منهم إلى Google وحذفوا هذه التطبيقات الضارة من متجر Google Play ، وتم حذف 13 تطبيقًا آخر بالفعل. علاوة على ذلك ، أبلغنا هذه التطبيقات بالتفاصيل الفنية إلى VK.com. أحد هذه التطبيقات كان يتنكر في لعبة وتم تثبيته أكثر من مليون مرة وفقًا لمتجر Google Play.

تم توزيع أحد التطبيقات التي تم اكتشافها على أنها لعبة Trojan-PSW.AndroidOS.MyVk.o.

كانت هناك أيضًا بعض التطبيقات الشائعة الأخرى – هناك 7 تطبيقات تحتوي على 10000 – 100000 عملية تثبيت من Google Play وتطبيقات تسعة تتضمن 1000 – 1000 عملية تثبيت. كانت جميع التطبيقات الأخرى أقل من 1000 عملية تثبيت.

تم اكتشاف التطبيق باسم Trojan-PSW.AndroidOS.MyVk.o على متجر Google Play

تم تحميل معظم هذه التطبيقات على Google Play في تشرين الأول 2017 ، ولكن تم تحميل العديد منها في تموز 2017 ، لذلك تم توزيعها لمدة 3 أشهر. علاوة على ذلك ، تم تحميل التطبيق الأكثر شعبية في البداية على متجر Google Play في آذار 2017 ، ولكن بدون أي شفرة خبيثة – كانت مجرد لعبة. قام مجرمو الإنترنت بتحديث هذا التطبيق بإصدار خبيث فقط في أكتوبر 2017 ، بعد أن انتظروا أكثر من 7 أشهر للقيام بذلك!

بدا معظم هذه التطبيقات مثل تطبيقات VK.com – للاستماع إلى الموسيقى أو لرصد زيارات صفحة المستخدم.

تم اكتشاف التطبيق باسم Trojan-PSW.AndroidOS.MyVk.o على متجر Google Play

بالتأكيد ، تحتاج هذه التطبيقات إلى تسجيل دخول المستخدم إلى حساب – وهذا هو السبب في أنها لم تبدو مريبة. التطبيقات الوحيدة التي لم تكن وظائفها ذات صلة بـ VK هي تطبيقات الألعاب. نظرًا لأن VK يتمتع بشعبية كبيرة في بلدان رابطة الدول المستقلة ، فحص المجرمون الإلكترونيون لغة الجهاز وطلبوا الحصول على أوراق اعتماد VK فقط من المستخدمين الذين لديهم لغات معينة – الروسية والأوكرانية والكازاخية والأرمنية والأذربيجانية والبيلاروسية والقرغيزية والرومانية والطاجيكية والأوزبكية.

كود حيث يفحص طروادة لغة الجهاز.

كان هؤلاء المجرمين الإلكتروني ينشرون تطبيقاتهم الضارة على متجر Google Play لأكثر من عامين ، لذا اضطروا إلى تعديل رمزهم لتجاوز الاكتشاف. في هذه التطبيقات ، استخدموا VK SDK معدلة مع مستخدمين مدونات خادعة قاموا بتسجيل الدخول إلى الصفحة القياسية ، لكن المجرمين الإلكترونيين استخدموا شفرة JS خبيثة للحصول على بيانات الاعتماد من صفحة تسجيل الدخول وإعادة تمريرها إلى التطبيق.


شفرة ضارة حيث تنفذ Trojan شفرة JS للحصول على بيانات اعتماد VK.

ثم يتم تشفير بيانات الاعتماد وتحميلها إلى موقع الويب الخبيث.

شفرة حيث تقوم Trojan بفك تشفير عنوان URL ضار ، وتقوم بتشفير بيانات الاعتماد المسروقة وتحميلها.

الشيء المثير للاهتمام هو أنه على الرغم من أن معظم هذه التطبيقات الضارة لها وظيفة موصوفة ، إلا أن القليل منها كان مختلفًا بعض الشيء — كما استخدمت أيضًا شفرة JS خبيثة من خلال أسلوب OnPageFinished ، ولكن ليس فقط لاستخراج أوراق الاعتماد ولكن لتحميلها أيضًا.

شفرة ضارة حيث تنفذ Trojan شفرة JS للحصول على بيانات اعتماد VK وتحميلها

نعتقد أن المجرمين الإلكترونيين يستخدمون وثائق سرقة مسروقة في الغالب لترويج المجموعات في VK.com. فهي تضيف المستخدمين بصمت إلى الترويج لمجموعات مختلفة وزيادة شعبيتها من خلال القيام بذلك. لدينا سبب للتفكير في ذلك لأن هناك شكاوى من بعض المستخدمين المصابين بأن حساباتهم قد تمت إضافتها بصمت إلى هذه المجموعات.

سبب آخر للتفكير في ذلك هو أننا تمكنا من العثور على العديد من التطبيقات الأخرى على Google Play والتي تم نشرها من قبل نفس المجرمين الإلكترونيين المسؤولين عن Trojan-PSW.AndroidOS.MyVk.o. تم نشرها كعملاء غير رسميين لتطبيق Telegram ، وهو تطبيق مراسلة شائع. تم الكشف عن جميع هذه المنتجات من قِبل منتجات كاسبرسكي لاب على أنها ليست فيروس: HEUR: RiskTool.AndroidOS.Hcatam.a. لقد أبلغنا Google بهذه التطبيقات أيضًا وقاموا بحذفها من متجر Google Play.

التطبيق المصاب بعدم الفيروس: HEUR: RiskTool.AndroidOS.Hcatam.a على متجر Google Play

لم تكن هذه التطبيقات تتنكر فقط على أنها تطبيقات Telegram ، فقد تم إنشاؤها في الواقع باستخدام برنامج Telegram SDK مفتوح المصدر وتعمل تمامًا مثل أي تطبيق آخر من هذا القبيل. باستثناء شيء واحد – أضافوا المستخدمين إلى مجموعات / دردشات تمت ترقيتها. تتلقى هذه التطبيقات قائمة مع مجموعات / دردشات من الخادم الخاص بهم. والأكثر من ذلك ، يمكنهم إضافة مستخدمين إلى مجموعات في أي وقت – لذلك فهم يسرقون رمز GCM المميز الذي يسمح للمجرمين عبر الإنترنت بإرسال الأوامر على مدار الساعة طوال أيام الأسبوع.

اكتشفنا أيضًا شيئًا مثيرًا للاهتمام حول امتدادات مواقع الويب الخبيثة. وفقا لإحصائيات KSN ، في بعض الحالات تم استخدامه في cryptocurrencies التعدين باستخدام API من http://coinhive.com.

CNC

extensionsapiversion.space
guest-stat.com

APPS

Package name MD5
com.parmrp.rump F5F8DF1F35A942F9092BDE9F277B7120
com.weeclient.clientold 6B55AF8C4FB6968082CA2C88745043A1
com.anocat.stelth C70DCF9F0441E3230F2F338467CD9CB7
com.xclient.old 6D6B0B97FACAA2E6D4E985FA5E3332A1
com.junglebeat.musicplayer.offmus 238B6B7069815D0187C7F39E1114C38
com.yourmusicoff.yourmusickoff 1A623B3784256105333962DDCA50785F
com.sharp.playerru 1A7B22616C3B8223116B542D5AFD5C05
com.musicould.close 053E2CF49A5D818663D9010344AA3329
com.prostie.dvijenija 2B39B22EF2384F0AA529705AF68B1192
com.appoffline.musicplayer 6974770565C5F0FFDD52FC74F1BCA732
com.planeplane.paperplane 6CBC63CBE753B2E4CB6B9A8505775389

المصدر

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

إغلاق