同じアプリケーションについて、私は春に逆転しました。 その後、友人と市場に悪意のあるアプリケーションがあると主張しました。 悪意のあるアプリケーションは見つかりませんでした; Vkontakteの偽物のみが見つかりました。 しかし、彼女は少し見ただけかもしれません。 しかし、今では市場でそれらを見つけることができませんでした。カスペルスキーによって検出された後に削除された可能性が高いです。
しかし、私の検索時には、これらのアプリケーションのかなりの数がありました。 長寿の主な理由は、公式のVKontakteアプリケーションからのトークンを使用していることです。このアプリケーションには、オープンフォームで格納されています。 すべてのユーザーがアプリケーションを必要とする、または更新できるわけではないため、Vkontakteはトークンを撤回/変更できません。 たとえば、誰かが単に望んでいない、誰かが電話の場所を持っていません。 また、トークンを変更すると、アプリケーションの古いバージョンが機能しなくなります。
私は数分でトークンを見つけることができました。これはすでにコード内でトークンが見えていることを示唆しています。
Androidアプリケーションを逆コンパイルするため、コードはほとんど変数名に復元されます。 ここでは、VkLogin、AuthorizationVkの精神に基づいた名前を持つすべてのアクティビティとクラスを探しています。 これらには、ログインとパスワードを入力するための変数と、リクエストが送信されるリンクが含まれます。 この時点で、アプリケーションが悪意のあるものかどうかがすぐに明らかになります。
逆の過程で、たとえば、非常に奇妙なtry-catchコンストラクトなど、興味深いソリューションに出会いました。このコンストラクトでは、最初に承認者のアプリケーショントークンとcatchの公式アプリケーションからトークンを渡そうとします。 そのような奇妙な決定の動機は私にはまだ明らかではありません。 そして、ほとんどすぐに公式アプリケーションのデータを使用します。
開発者の1人がユーザーを安心させることを決定し、Oauth2を介して承認のコピーをほぼ作成しました。
そして、これがどのように見えるかです
すべてのアプリケーションは難読化されておらず、ゲートへのリンク(送信されたデータを処理するPHPスクリプト、たとえば有効性のチェックやデータベースへの書き込み)も開かれていました。 同じアプリケーションが同じ開発者からちらつき、アイコンのみが異なりました。 公開直後のアプリケーションは、購入したアカウントを使用して最上位に移動し、そこからレビューを書き込みます。レビューでは、アカウントの盗難に関するメッセージがプロセスで失われます。 アプリケーションは、承認用のフィールドを備えた単なるフォームではありません。 これらは、広告がなくても、宣言されたすべての機能を実行する、実際の機能の高いアプリケーションです。 それらのいくつかは、公開後も開発者によって引き続きサポートされています。 すべてユーザーの利便性のためですが、このような小さな悪意のある機能を備えています。 その後、収集されたアカウントは市場に行きます。 そのような市場はすでに自動化されています。 Googleでは、「購入するVKアカウント」というクエリに対して、リスト全体が表示されます。
1つのアカウントの価格は、「急峻さ」-友人、サブスクライバー、写真などの数によって異なります。 そして、平均で2ルーブルから2,000ルーブルまで変化します。 このようなアカウントは、プライベートメッセージ、グループ/アプリケーションの宣伝、メッセージの公開などによるスパムに対して使用されます。
そのため、アプリケーションをインストールする前に、レビューを注意深く確認し、ユーザー名とパスワードを必要とするアプリケーションに注意する必要があります。 開発者にとって、ユーザー名とパスワードを要求することが唯一のオプションである場合、このソリューションを説明する必要があります。