«Лаборатория Касперского» выявила масштабную операцию по хищению учетных данных пользователей популярной социальной сети «ВКонтакте».

Кража информации осуществлялась через популярное бесплатное приложение «Музыка ВКонтакте», размещенное в официальном магазине Google Play. Как выяснили эксперты, программа содержала вредоносный код, однако пользователи даже не догадывались об этом, поскольку приложение исправно работало и качественно выполняло основные заявленные функции. Если многие программы с вредоносным кодом создаются только лишь с целью запуска и заражения устройства пользователя, то «Музыка ВКонтакте» работала иначе. Его создатели постарались сделать качественной и функциональное приложение, что обеспечило популярность и широкое распространение среди владельцев устройств под управлением Android.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

По оценкам «Лаборатории Касперского», жертвами этого вредоносного приложения могли стать сотни тысяч владельцев Android-устройств. Кража данных происходила после авторизации в приложении, то есть после того, как пользователь самостоятельно вводил действующие логин и пароль, установленные им для доступа к аккаунту в «ВКонтакте». Злоумышленники проверяли подлинность этих данных, отправляя их на легитимный сервер аутентификации oauth.vk.com, а также дублировали в свою базу данных.

Специалисты отмечают, что вредоносное приложение чаще всего использовало украденные данные для добавления аккаунтов пользователей в определенные группы в соцсети, продвижением которых занимаются злоумышленники. Реже происходили случаи, когда разработчики приложения «Музыка ВКонтакте» меняли пароли учетных записей и отбирали доступ пользователей к некоторым избранные аккаунтам в социальной сети.

«Для пользователя сам факт кражи данных для авторизации в социальной сети «ВКонтакте» в случае с этим вредоносным приложением может оставаться незамеченным, пока злоумышленники не сменят пароль. При этом мы фиксируем огромное количество заражений данным троянцем, в основном в России. Ситуацию усугубляет легкость, с которой злоумышленники выкладывают каждую новую версию зараженного приложения взамен заблокированной Google, — рассказывает Роман Унучек, антивирусный эксперт «Лаборатории Касперского». — Мы призываем пользователей быть более бдительными, не вводить логин и пароль в сторонних приложениях. Если же у вас было установлено это или подобное приложение для прослушивания музыки из «ВКонтакте», рекомендуем удалить его и срочно сменить логин и пароль от аккаунта в социальной сети».

«Чтобы избегать утери личных данных, мы всегда советуем пользователям устанавливать только официальные приложения «ВКонтакте» и подключать двухфакторную авторизацию. Она поможет избежать несанкционированного доступа к аккаунту даже в том случае, если логин и пароль стали известны злоумышленникам», — комментирует Георгий Лобушкин, глава пресс-службы «ВКонтакте».

По информации с Google Play, всего за два дня последнюю версию приложения скачали от 100 000 до 500 000 пользователей. По данным «Лаборатории», популярность одной из более старых версий была в 10 раз выше — это может означать, что только этой версией могли быть заражены устройства сотен тысяч пользователей. Первая из известных специалистам версий вредоносного приложения «Музыка ВКонтакте» была опубликована в Google Play 16 августа 2015 года, далее версии меняли, как правило, раз в 6-10 дней. Все версии различались только именем пакета, функциональность приложения оставалась неизменной. Самая последняя из известных версий была опубликована 4 октября. В то же время, судя по данным из кода троянца, это была уже 15-я версия приложения. Ситуацию усугубляет легкость, с которой злоумышленники выкладывают каждую новую версию этого троянца взамен заблокированной и раз за разом проходят модерацию в Google Play. «Лаборатория Касперского» уведомила компанию Google о наличии вредоносного кода в приложении «Музыка ВКонтакте», и программа была оперативно удалена из магазина. Группы, продвигаемые с помощью трояна, были заблокированы администрацией «ВКонтакте».