导语:VK.com就类似于俄罗斯的Facebook ,据说70%的俄罗斯人都玩VK,不过目前VK已提供了70多种语言版本(还支持中文)以服务全球用户。另外,因为它在中国没有像facebook一样限制访问,验证个手机号就能注册,所以在中国也有一些用户。

360截图16370625518947.jpg

VK.com就类似于俄罗斯的Facebook ,据说70%的俄罗斯人都玩VK,不过目前VK已提供了70多种语言版本(还支持中文)以服务全球用户。另外,因为它在中国没有像facebook一样限制访问,验证个手机号就能注册,所以在中国也有一些用户。

由于其巨大的用户基数,所以自然而然它也成为了黑客的理想攻击目标。不过,有一款恶意程序从2015年以来,就一直变着法的来回从VK.com窃取用户的信息。

“薅羊毛”的历史

早在2015年,卡巴斯基实验室就将该木马定义为Trojan-PSW.AndroidOS.MyVk.a,该木马反复多次的以各种形式出现在Google Play上,其目标是窃取用户的数据。这不从2017年的10月到11月,卡巴斯基实验室就在Google Play上发现了85个带有此木马变异版本(Trojan-PSW.AndroidOS.MyVk.o)的恶意应用。

目前卡巴斯基实验室已向Google通知了其中72款恶意应用,其中有一个应用伪装成游戏应用(Mr.President Rump),下载量已超过百万。

1.png

含有Trojan-PSW.AndroidOS.MyVk.o木马,伪装成Mr.President Rump的恶意应用

攻击过程

根据Google Play的分析,这85个恶意应用都会将自己伪装成中流行的应用,其中有7个的安装量达到了十万,9个的安装量达到了一万。

2.png

Google Play中发现的含有Trojan-PSW.AndroidOS.MyVk的恶意应用

这些应用很多都是2017年10月上传到Google Play中的,但有几款的上传时间比较早,大概为2017年7月,可见在长达3个月的时间里,没有人发现它。此外,伪装成游戏应用(Mr. President Rump)的那个应用的最早上传时间为2017年3月,不过此时,该伪装应用的恶意代码还为嵌入其中,等用户玩的不能自已的时候,它会通知用户进行应用升级。该升级发生在2017年10月,等升级后游戏应用也就变身成了恶意应用。另外,也可以发现,攻击者的潜伏期长达7个月,由此推断其背后的组织非常具有战略眼光。

这些恶意应用,表面上都是围绕VK.com开发的小应用,用户通过这些应用可以很方便地享受其中的各种服务,比如听音乐或查看访问记录,以和好友保持无缝沟通。

3.png

Google Play中发现的含有Trojan-PSW.AndroidOS.MyVk.o的恶意应用

不过要想使用这些应用,前提是先用自己的VK.com账号登录进去,这也是恶意应用能够频频得逞的原因。不过这些恶意应用在开启之前会先对运行的语言的环境进行检测,只有发现匹配特定语言时才会要求用户输入登录信息,这些恶意应用为:俄语、乌克兰语、哈萨克语、亚美尼亚语、阿塞拜疆语、白俄罗斯语、吉尔吉斯斯坦语、罗马尼亚语、塔吉克语以及乌兹别克语,看来目前的中国用户可以放心了。

4.png

检查设备运行语言的代码片段

由于该木马从2015年就开始传播了,所以为了进行持续性攻击,它也会对其应用代码进行不断地改进。所以它能在两年多的时间里不断地绕过官方安检,发动攻击,也是得益于此。在这些应用程序中,开发者使用了一种修改过的VK SDK,其中包含了一些可以让用户进入VK.com官方登录页面的复杂代码。不过,开发者会在正常页面中嵌入恶意的JS代码,这样在用户填写登录信息时,这些信息就会同时被传递给后台服务器,攻击者也就轻而易举地窃取了用户的信息。

5.png

执行JS代码以窃取VK.com信息的代码片段

在窃取登录信息后,恶意应用会将这些登录信息进行加密,进行恶意用途。

6.png

解密恶意URL,加密并上传已窃取的登录信息

不过还有一些恶意应用的窃取方法稍有不同,它们使用了OnPageFinished方法中的恶意JS代码,这些代码不仅能窃取VK.com的登录信息,也可以将上传它们。

7.png

执行JS代码并窃取、上传VK.com信息

恶意目的

根据卡巴斯基实验室的研究,攻击者利用这些所窃取的登录信息,在用户不知情的情况下,将他们添加到不同的推广群中。之所以会有这样的分析结果,是因为许多用户都抱怨过他们在不知道什么时候被加入到了一些小组中,这些小群主要都是进行广告推销的群。

另外,卡巴斯基实验室使用Trojan-PSW.AndroidOS.MyVk.o的发布者对Google Play的应用进行了一次扫描,发现该发布者还同时上传了其他几个应用发。这些应用伪装成Telegram,下载量也很大。卡巴斯基实验室将这些应用全部定义为not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a。随后他们向Google通知了这些恶意应用,很快它们就从商店中被删除了。

8.png

Google Play中被not-a-virus:HEUR:RiskTool.AndroidOS.Hcatam.a感染的应用

由以上的分析可知,窃取登录信息后,攻击者主要是用来进行广告营销的。所以依照这个逻辑,伪装成Telegram应用获取用户的登录信息后,攻击者照样会把不同的用户按不同的特性添加到不同的推广群。不过与窃取VK.com的登录信息所用的技术不同,在Telegram中,攻击者使用了开源的Telegram SDK技术h。这样Telegram就会显示出服务器返回的群组列表。更重要的是,攻击者可以随时将用户添加到各种组中,为了做到这一点,他们就窃取一个GCM令牌,这使攻击者可以全天候发送命令。

根据KSN的统计,研究人员还发现了一个叫做extensionsapiversion.space的恶意网站,在某些情况下,该网站还会使用http://coinhive.com的API来提供挖矿服务。

应用哈希

360截图16550426225643.jpg

源链接

Hacking more

...