据外媒报道，安全研究人员在Google Play商店中发现了至少85个旨在窃取俄罗斯社交网络VK.com用户证书的应用程序，这些应用程序累计已被下载数百万次。即使经过Google的不懈努力（如启动漏洞赏金计划、阻止应用程序使用Android的辅助功能等），恶意应用程序还是能够以某种方式进入Google商店并设法通过恶意软件感染用户。因此研究人员强烈建议用户在下载应用程序时，一定要保持高度警惕。

调查结果显示，这些恶意应用程序中包含一款非常流行的游戏应用程序，其下载量已超过一百万次。 卡巴斯基实验室在周二发布的分析报告中表示，这个应用程序最初在 2017 年 3 月上传时只是一个没有任何恶意代码的游戏应用程序。 然而7个多月之后幕后团队却为其增加了信息窃取功能。

除了这款游戏外， 其他应用程序于2017年10月被上传到Play商店。据统计显示，其中有7个应用程序下载安装数量达到1-10万次、另有9个下载安装量在1,000–1万次之间，其余应用的下载量则不足1000次。

由于VK.com主要在独联体国家的用户中流行，因此恶意应用程序主要针对的是使用俄罗斯、乌克兰、罗马尼亚，白俄罗斯等国语言的用户群体。

分析结果显示，这些应用程序使用VK.com的官方SDK，但会利用恶意JavaScript代码稍作修改，从VK的标准登录页面中窃取用户凭据，并将其传递回自身应用程序中。这些页面与来自VK.com的标准登录页面非常相似，因此普通用户很难发现其中可疑之处，而被盗的证书会在被加密后上传到由网络犯罪分子控制的远程服务器中。

有趣的是，这些恶意软件还使用了OnPageFinished方法中的恶意JS代码，但这不仅用于提取凭据，而且还被用于数据上传。

研究人员认为，网络犯罪分子使用被盗用户的凭证主要是为了在VK.com上推广各类用户群组、提高一些账户或群组的“ 知名度 ”，即类似于国内社交媒体中流行的“ 涨粉 ” 活动。此外，研究人员还指出，他们还在Google Play商店中发现了几个由同一网络犯罪分子提交的应用程序，比如以非官方身份通过电子邮件发布假的Telegram应用等。

这些伪装成Telegram的应用程序实际上是用Telegram的开源SDK构建的，但几乎和其他的应用程序一样。它们会根据从服务器上收到的列表添加受感染的用户来推广群组/聊天。

卡巴斯基报告中指出，目前发现的所有恶意程序包括窃取凭证的应用程序（检测为Trojan-PSW.AndroidOS.MyVk.o）和恶意的 Telegram 客户端（检测为非病毒：HEUR：RiskTool.AndroidOS.Hcatam.a ） 等都已经被 Google Play 商店删除，而已经在移动设备上安装了上述应用程序的用户可启用 Google Play Protect 保护功能卸载恶意程序，以保障自身设备安全。

同时，研究人员提醒用户除了尽量选择从官方渠道下载安装应用程序外，最好能够养成下载前核对 APP 开发者、查看下载量和参考其他用户评论、以及确认应用程序权限等良好习惯。