Вредоносное ПО для Android «Necro» заразило 11 миллионов устройств через Google Play
Вредоносное ПО для Android «Necro» заразило 11 миллионов устройств через Google Play. Фото: СС0
Свежая итерация трояна Necro была установлена через вредоносные рекламные комплекты разработки программного обеспечения (SDK), используемые легальными приложениями, модами игр для Android и модифицированными версиями популярного программного обеспечения, такого как Spotify, WhatsApp* и Minecraft.
Necro устанавливает несколько полезных нагрузок на зараженные устройства и активирует различные вредоносные плагины, в том числе: рекламное ПО, загружающее ссылки через невидимые окна WebView (плагин Island, Cube SDK); модули, которые загружают и выполняют произвольные файлы ЯваСкрипт и DEX (Happy SDK, Jar SDK); нструменты, специально разработанные для упрощения мошенничества с подписками (плагин Web, Happy SDK, плагин Tap); механизмы, использующие зараженные устройства в качестве прокси-серверов для маршрутизации вредоносного трафика (плагин NProxy)
Команда «Лаборатории Касперского» обнаружила наличие загрузчика Necro в двух приложениях в Google Play, оба из которых имеют значительную пользовательскую базу.
Первое — Wuta Camera от Benqu, инструмент для редактирования и украшения фотографий, который скачали более 10 млн раз в Google Play.
Аналитики угроз сообщают, что Necro появился в приложении с выпуском версии 6.3.2.148 и оставался встроенным до версии 6.3.6.148, когда «Лаборатория Касперского» уведомила Google.
Хотя троян был удален в версии 6.3.7.138, любые полезные нагрузки, которые могли быть установлены через более старые версии, все еще могут скрываться на устройствах Android.
Второе легальное приложение, содержащее Necro, — это Max Browser от «WA message recovery-wamr», у которого было 1 млн загрузок в Google Play, пока оно не было удалено после отчета компании.
По словам представителей «Лаборатории Каперского», последняя версия Max Browser, 1.2.0, по-прежнему содержит Necro, поэтому чистой версии для обновления не существует, а пользователям веб-браузера рекомендуется немедленно удалить его и перейти на другой браузер.
Оба приложения были заражены рекламным SDK под названием «Coral SDK», который использовал обфускацию для сокрытия своих вредоносных действий, а также стеганографию изображений для загрузки полезной нагрузки второго этапа, shellPlugin, замаскированной под безобидные изображения PNG
За пределами Play Store троян Necro распространяется в основном через модифицированные версии популярных приложений (моды), которые распространялись через неофициальные сайты.
Известные примеры включают моды WhatsApp* «GBWhatsApp» и «FMWhatsApp», которые обещают лучший контроль конфиденциальности и расширенные лимиты обмена файлами. Другим является мод Spotify, «Spotify Plus», который обещает бесплатный доступ к премиум-сервисам без рекламы.
В отчете также упоминаются моды для Minecraft и других популярных игр, таких как Stumble Guys, Car Parking Multiplayer и Melon Sandbox, которые были заражены загрузчиком Necro.
Во всех случаях вредоносное поведение было одинаковым — показ рекламы в фоновом режиме для получения мошеннического дохода злоумышленниками, установка приложений и APK без согласия пользователя и использование невидимых WebViews для взаимодействия с платными сервисами.
Поскольку неофициальные сайты программного обеспечения Android не предоставляют достоверных данных о количестве загрузок, общее число заражений этой последней волной трояна Necro неизвестно.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
1 комментарий
Не все скачивают инструменты для обработки фотографий, на мой взгляд это более удобно делать на компьютере, но те кто счачивал браузер, скорее всего пострадали от трояна.
Добавить комментарий