據外媒報道，安全研究人員在Google Play商店中發現了至少85個旨在竊取俄羅斯社交網絡VK.com用戶證書的應用程序，這些應用程序累計已被下載數百萬次。即使經過Google的不懈努力（如啟動漏洞賞金計劃、阻止應用程序使用Android的輔助功能等），惡意應用程序還是能夠以某種方式進入Google商店并設法通過惡意軟件感染用戶。因此研究人員強烈建議用戶在下載應用程序時，一定要保持高度警惕。

調查結果顯示，這些惡意應用程序中包含一款非常流行的游戲應用程序，其下載量已超過一百萬次。 卡巴斯基實驗室在周二發布的分析報告中表示，這個應用程序最初在 2017 年 3 月上傳時只是一個沒有任何惡意代碼的游戲應用程序。 然而7個多月之后幕后團隊卻為其增加了信息竊取功能。

除了這款游戲外， 其他應用程序于2017年10月被上傳到Play商店。據統計顯示，其中有7個應用程序下載安裝數量達到1-10萬次、另有9個下載安裝量在1,000–1萬次之間，其余應用的下載量則不足1000次。

由于VK.com主要在獨聯體國家的用戶中流行，因此惡意應用程序主要針對的是使用俄羅斯、烏克蘭、羅馬尼亞，白俄羅斯等國語言的用戶群體。

分析結果顯示，這些應用程序使用VK.com的官方SDK，但會利用惡意JavaScript代碼稍作修改，從VK的標準登錄頁面中竊取用戶憑據，并將其傳遞回自身應用程序中。這些頁面與來自VK.com的標準登錄頁面非常相似，因此普通用戶很難發現其中可疑之處，而被盜的證書會在被加密后上傳到由網絡犯罪分子控制的遠程服務器中。

有趣的是，這些惡意軟件還使用了OnPageFinished方法中的惡意JS代碼，但這不僅用于提取憑據，而且還被用于數據上傳。

研究人員認為，網絡犯罪分子使用被盜用戶的憑證主要是為了在VK.com上推廣各類用戶群組、提高一些賬戶或群組的“ 知名度 ”，即類似于國內社交媒體中流行的“ 漲粉 ” 活動。此外，研究人員還指出，他們還在Google Play商店中發現了幾個由同一網絡犯罪分子提交的應用程序，比如以非官方身份通過電子郵件發布假的Telegram應用等。

這些偽裝成Telegram的應用程序實際上是用Telegram的開源SDK構建的，但幾乎和其他的應用程序一樣。它們會根據從服務器上收到的列表添加受感染的用戶來推廣群組/聊天。

卡巴斯基報告中指出，目前發現的所有惡意程序包括竊取憑證的應用程序（檢測為Trojan-PSW.AndroidOS.MyVk.o）和惡意的 Telegram 客戶端（檢測為非病毒：HEUR：RiskTool.AndroidOS.Hcatam.a ） 等都已經被 Google Play 商店刪除，而已經在移動設備上安裝了上述應用程序的用戶可啟用 Google Play Protect 保護功能卸載惡意程序，以保障自身設備安全。

同時，研究人員提醒用戶除了盡量選擇從官方渠道下載安裝應用程序外，最好能夠養成下載前核對 APP 開發者、查看下載量和參考其他用戶評論、以及確認應用程序權限等良好習慣。