15 czerwca 2016

Specjaliści Doctor Web wykryli nowego trojana rozpowszechnianego poprzez aplikacje w Google Play. Ten złośliwy program nazwany Android.PWS.Vk.3 bierze sobie za cel użytkowników serwisu VK («ВКонтакте», największej europejskiej sieci społecznościowej online) wykradając poświadczenia logowania do ich profili.

Android.PWS.Vk.3 jest dystrybuowany poprzez aplikację „Music from VK” («Музыка из ВК») opublikowaną w Google Play. Nazwa jej dewelopera to firma MixHard. Analitycy Doctor Web poinformowali Google o tym trojanie, ale, jak dotąd, Android.PWS.Vk.3 jest wciąż udostępniony do pobrania.

Trojan został wdrożony jako w pełni funkcjonalny odtwarzacz audio VK. Jeśli użytkownik chce posłuchać muzyki, musi wejść do swojego profilu użytkownika wprowadzając login i hasło. W rzeczywistości wszystkie te prywatne informacje są natychmiast wysyłane na serwer C&C, co oznacza, że agresorzy uzyskują pełną kontrolę nad profilem VK użytkownika.

Specjaliści Doctor Web zarejestrowali próby przeprowadzone przez twórców wirusa sprzedaży na podziemnych forach hakerskich profili użytkownika zhakowanych z użyciem Android.PWS.Vk.3 . Do tego cyberprzestępcy mogą używać tych profili VK do generowania ruchu w różnych społecznościach w ramach serwisu VK.

Agresorzy próbowali już dystrybuować Android.PWS.Vk.3 poprzez Google Play — przykładowo jako aplikacje „Music for VK” i „Music VK” stworzone przez firmę Dobrandrav, jednakże obydwie te aplikacje nie są już dostępne do pobrania. Sumarycznie około 12000 użytkowników zainstalowało tego trojana na swoich urządzeniach.

Autorzy trojana stworzyli swoją własną społeczność VK, posiadającą ponad 44600 subskrybentów. Wszystkim jej członkom zaoferowano pobranie na swoje urządzenia mobilne wirusa Android.PWS.Vk.3.

Dodatkowo agresorzy opublikowali jeszcze jedną aplikację nazwaną „Music and video for VK” («Музыка и видео для ВК») opracowaną przez firmę Gomunkul. Na chwilę obecną ten odtwarzacz nie zawiera już złośliwego „arsenału”.

Mimo faktu, że wygląda on niegroźnie, ten odtwarzacz może stać się w pełni rozwiniętym trojanem, gdy tylko agresorzy zdecydują się na zmodyfikowanie jednego z jego parametrów (lub na dodanie dowolnych funkcji, włączając te złośliwe) i na zaktualizowanie złośliwego programu. Jeśli do tego dojdzie, trojan będzie w sposób ciągły monitował użytkownika o zainstalowanie wtyczki niezbędnej do jego działania. Warto zauważyć, że wtyczka i Android.PWS.Vk.3 posiadają ten sam certyfikat bezpieczeństwa.

Ponad 1000000 użytkowników pobrało jak dotąd ten odtwarzacz i tym samym w dowolnym momencie może stać się ofiarami trojana. Z przyczyny niebezpieczeństw jakie reprezentuje ten odtwarzacz dla urządzeń z Androidem, został dodany do naszej bazy wirusów pod nazwą Android.Click.123.

Doctor Web usilnie zaleca użytkownikom instalowanie tylko oficjalnych aplikacji i ochronę posiadanych urządzeń mobilnych z użyciem oprogramowania antywirusowego. Trojan Android.PWS.Vk.3 i riskware Android.Click.123 są z powodzeniem wykrywane i usuwane przez Antywirusy Dr.Web dla Androida — z tej przyczyny nie stanowią one żadnego zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Już teraz zabezpiecz swoje urządzenie z Androidem razem z Dr.Web