2016年6月15日
株式会社Doctor Web Pacific
Android.PWS.Vk.3はGoogle Play上で公開されている「Music from VK(Музыка из ВК)」によって拡散されており、このアプリケーションの開発者名はMixHardとなっています。Doctor Webではこのトロイの木馬についてGoogle社に報告を行いましたが、現時点で Android.PWS.Vk.3は未だダウンロード可能な状態となっています。
このトロイの木馬はVKオーディオプレイヤーとしての全ての機能を備えています。音楽を聴くために、ユーザーはユーザー名とパスワードを入力してアカウントにログインする必要があり、その際、これらの情報は直ちにC&Cサーバーへ送信されます。その結果として、ユーザーのVKプロフィールは犯罪者の管理下に置かれることになります。
Android.PWS.Vk.3を用いてハッキングしたこれらのユーザープロフィールをアンダーグラウンドのハッキングフォーラムで売ろうとするウイルス開発者の動きが、Doctor Webスペシャリストによって確認されています。そのほか、サイバー犯罪者はこれらのプロフィールを使用して様々なVKコミュニティへのアクセス数を増やすことができます。
Android.PWS.Vk.3はこれまでにもMusic for VKアプリやMusic VKアプリを使用してGoogle Play経由で拡散されていましたが、これらのアプリは現在Google Playから削除されています。合計で約12,000のユーザーが Android.PWS.Vk.3をデバイス上にインストールしています。
Android.PWS.Vk.3の開発者は自身のVKコミュニティを持っており、そのメンバーは44,600名を超えています。これらのメンバー全員が、モバイルデバイス上に Android.PWS.Vk.3をダウンロードするよう勧められています。
また、 Android.PWS.Vk.3の開発者はGoogle Play上にもう1つ別のアプリケーションを公開しています。アプリケーション名は「Music and video for VK(Музыка и видео для ВК)」で、開発者はGomunkulとなっています。現時点では、このプレイヤーにはペイロードは含まれていません。
しかし、開発者がパラメータの1つを変更(または悪意のある機能を追加)し、プログラムをアップデートするだけで、この無害なプレイヤーは完全なトロイの木馬へと姿を変える可能性があります。その場合、ユーザーはこのトロイの木馬の動作に必要なプラグインをインストールするようしつこく要求されることになります。プラグインと Android.PWS.Vk.3は同一のセキュリティ証明書を持っているという点に注意してください。
現時点で1,000,000を超えるユーザーがこのプレイヤーをダウンロードしており、いつトロイの木馬の被害にあってもおかしくない状況にあります。このプレイヤーはAndroidユーザーにとって潜在的に危険なものであることから、Android.Click.123という名前でDoctor Webのウイルスデータベースに追加されています。
Doctor Webでは、公式アプリケーションのみをインストールし、デバイスをアンチウイルスソフトウェアで保護するよう強く推奨しています。 Android.PWS.Vk.3および Android.Click.123はDr.Web for Androidによって検出・削除されます。そのため、Dr.Webユーザーに危害が及ぶことはありません。