据外媒报道，安全研究人员在 Google Play 商店中发现了至少 85 个旨在窃取俄罗斯社交网络 VK.com 用户证书的应用程序，这些应用程序累计已被下载数百万次。即使经过 Google 的不懈努力（如启动漏洞赏金计划、阻止应用程序使用 Android 的辅助功能等），恶意应用程序还是能够以某种方式进入 Google 商店并设法通过恶意软件感染用户。因此研究人员强烈建议用户在下载应用程序时，一定要保持高度警惕。

调查结果显示，这些恶意应用程序中包含一款非常流行的游戏应用程序，其下载量已超过一百万次。 卡巴斯基实验室在周二发布的分析报告中表示，这个应用程序最初在 2017 年 3 月上传时只是一个没有任何恶意代码的游戏应用程序。  然而7个多月之后幕后团队却为其增加了信息窃取功能。

除了这款游戏外， 其他应用程序于 2017 年 10 月被上传到 Play 商店。据统计显示，其中有 7 个应用程序下载安装数量达到 1-10 万次、另有 9 个下载安装量在 1,000 – 1 万次之间，其余应用的下载量则不足 1000 次。

网络犯罪分子如何窃取账户凭证

由于 VK.com 主要在独联体国家的用户中流行，因此恶意应用程序主要针对的是使用俄罗斯、乌克兰、罗马尼亚，白俄罗斯等国语言的用户群体。

分析结果显示，这些应用程序使用 VK.com 的官方 SDK，但会利用恶意 JavaScript 代码稍作修改，从 VK 的标准登录页面中窃取用户凭据，并将其传递回自身应用程序中。这些页面与来自 VK.com 的标准登录页面非常相似，因此普通用户很难发现其中可疑之处，而被盗的证书会在被加密后上传到由网络犯罪分子控制的远程服务器中。

有趣的是，这些恶意软件还使用了 OnPageFinished 方法中的恶意 JS 代码，但这不仅用于提取凭据，而且还被用于数据上传。

研究人员认为，网络犯罪分子使用被盗用户的凭证主要是为了在 VK.com 上 推广各类用户群组、提高一些账户或群组的 “ 知名度 ”，即类似于国内社交媒体中流行的 “ 涨粉 ” 活动。此外，研究人员还指出，他们还在 Google Play 商店中发现了几个由同一网络犯罪分子提交的应用程序，比如以非官方身份通过电子邮件发布假的 Telegram 应用等。

这些伪装成 Telegram 的应用程序实际上是用 Telegram 的开源 SDK 构建的，但几乎和其他的应用程序一样。它们会根据从服务器上收到的列表添加受感染的用户来推广群组/聊天。

如何保护设备免受这些恶意应用程序的侵害

卡巴斯基报告中指出，目前发现的所有恶意程序包括窃取凭证的应用程序（检测为Trojan-PSW.AndroidOS.MyVk.o）和恶意的 Telegram 客户端（检测为非病毒：HEUR：RiskTool.AndroidOS.Hcatam.a ） 等都已经被 Google Play 商店删除，而已经在移动设备上安装了上述应用程序的用户可启用 Google Play Protect 保护功能卸载恶意程序，以保障自身设备安全。

同时，研究人员提醒用户除了尽量选择从官方渠道下载安装应用程序外，最好能够养成下载前核对 APP 开发者、查看下载量和参考其他用户评论、以及确认应用程序权限等良好习惯。

(责任编辑：冬天的宇)