Una dintre cele mai recente amenințări cibernetice pentru dispozitivele Android a fost descoperită sub forma malware-ului Necro, care a reușit să infecteze nu mai puțin de 11 milioane de dispozitive prin intermediul Google Play, în cadrul unor atacuri cu lanț de aprovizionare SDK malicioase.
Acest nou Necro Trojan a fost instalat prin intermediul unor kituri de dezvoltare de software publicitar malicios (SDK) folosite de aplicații legitime, moduri de joc Android și versiuni modificate ale unor software-uri populare, precum Spotify, WhatsApp și Minecraft.
Necro instalează mai multe încărcături pe dispozitivele infectate și activează diferite modulele de programare malițioase, inclusiv:
- Afișarea de reclame în fundal pentru a genera venituri frauduloase pentru atacatori
- Instalarea de aplicații și fișiere APK fără consimțământul utilizatorului
- Utilizarea WebViews invizibile pentru a interacționa cu servicii plătite
Compania de securitate Kaspersky a descoperit prezența loader-ului Necro pe două aplicații de pe Google Play, ambele având o bază de utilizatori semnificativă.
Prima dintre acestea este Wuta Camera dezvoltată de ‘Benqu’, o unealtă de editare și frumusețe foto cu peste 10.000.000 de descărcări pe Google Play.
Analiștii de securitate raportează că Necro a apărut pe aplicație odată cu lansarea versiunii 6.3.2.148 și a rămas înglobat până la versiunea 6.3.6.148, moment în care Kaspersky a notificat Google.
Deși troianul a fost eliminat în versiunea 6.3.7.138, orice încărcături care ar fi putut fi instalate prin versiunile mai vechi ar putea încă persista pe dispozitivele Android.
A doua aplicație legitimă care a transportat Necro este Max Browser dezvoltată de ‘WA message recover-wamr’, care avea 1 milion de descărcări pe Google Play până când a fost eliminată, în urma raportului Kaspersky.
Kaspersky susține că versiunea cea mai recentă a Max Browser, 1.2.0, încă transportă Necro, astfel încât nu există o versiune curată disponibilă pentru upgrade, iar utilizatorii browser-ului web sunt recomandați să o dezinstaleze imediat și să treacă la un alt browser.
Kaspersky afirmă că cele două aplicații au fost infectate de un SDK publicitar numit ‘Coral SDK’, care a folosit obfuscare pentru a-și ascunde activitățile malițioase și, de asemenea, steganografie de imagine pentru a descărca încărcătura de al doilea nivel, shellPlugin, mascată sub forma unor imagini PNG inofensive.
Google a declarat pentru BleepingComputer că sunt conștienți de aplicațiile raportate și le investighează.
În afara Play Store-ului, Trojanul Necro este răspândit în principal prin versiuni modificate ale aplicațiilor populare (moduri) care au fost distribuite prin intermediul unor site-uri neoficiale.
Exemple remarcabile observate de Kaspersky includ modurile WhatsApp ‘GBWhatsApp’ și ‘FMWhatsApp’, care promit controale mai bune de confidențialitate și limite extinse de partajare a fișierelor. Un alt exemplu este modul Spotify, ‘Spotify Plus’, care promite acces gratuit la servicii premium fără reclame.
Raportul menționează, de asemenea, modurile Minecraft și modurile pentru alte jocuri populare precum Stumble Guys, Car Parking Multiplayer și Melon Sandbox, care au fost infectate cu loader-ul Necro.
În toate cazurile, comportamentul malițios a fost același – afișarea de reclame în fundal pentru a genera venituri frauduloase pentru atacatori, instalarea de aplicații și APK-uri fără consimțământul utilizatorului și utilizarea WebViews invizibile pentru a interacționa cu servicii plătite.
Deoarece site-urile neoficiale de software Android nu raportează în mod fiabil numerele de descărcare, numărul total de infecții generate de această ultimă undă de Necro Trojan nu este cunoscut, dar se estimează că este de cel puțin 11 milioane de pe Google Play.
Leave a Reply