Вредоносное ПО для Android «Necro» заразило 11 миллионов устройств через Google Play

Новая версия вредоносного загрузчика Necro для Android была установлена на 11 млн устройств через Google Play в результате вредоносных атак на цепочку поставок SDK.
Вредоносное ПО для Android «Necro» заразило 11 миллионов устройств через Google Play

Вредоносное ПО для Android «Necro» заразило 11 миллионов устройств через Google Play. Фото: СС0

Свежая итерация трояна Necro была установлена ​​через вредоносные рекламные комплекты разработки программного обеспечения (SDK), используемые легальными приложениями, модами игр для Android и модифицированными версиями популярного программного обеспечения, такого как Spotify, WhatsApp* и Minecraft.

Necro устанавливает несколько полезных нагрузок на зараженные устройства и активирует различные вредоносные плагины, в том числе: рекламное ПО, загружающее ссылки через невидимые окна WebView (плагин Island, Cube SDK); модули, которые загружают и выполняют произвольные файлы ЯваСкрипт и DEX (Happy SDK, Jar SDK); нструменты, специально разработанные для упрощения мошенничества с подписками (плагин Web, Happy SDK, плагин Tap); механизмы, использующие зараженные устройства в качестве прокси-серверов для маршрутизации вредоносного трафика (плагин NProxy)

Команда «Лаборатории Касперского» обнаружила наличие загрузчика Necro в двух приложениях в Google Play, оба из которых имеют значительную пользовательскую базу.

Первое — Wuta Camera от Benqu, инструмент для редактирования и украшения фотографий, который скачали более 10 млн раз в Google Play.

Аналитики угроз сообщают, что Necro появился в приложении с выпуском версии 6.3.2.148 и оставался встроенным до версии 6.3.6.148, когда «Лаборатория Касперского» уведомила Google.

Хотя троян был удален в версии 6.3.7.138, любые полезные нагрузки, которые могли быть установлены через более старые версии, все еще могут скрываться на устройствах Android.

Второе легальное приложение, содержащее Necro, — это Max Browser от «WA message recovery-wamr», у которого было 1 млн загрузок в Google Play, пока оно не было удалено после отчета компании.

По словам представителей «Лаборатории Каперского», последняя версия Max Browser, 1.2.0, по-прежнему содержит Necro, поэтому чистой версии для обновления не существует, а пользователям веб-браузера рекомендуется немедленно удалить его и перейти на другой браузер.

Оба приложения были заражены рекламным SDK под названием «Coral SDK», который использовал обфускацию для сокрытия своих вредоносных действий, а также стеганографию изображений для загрузки полезной нагрузки второго этапа, shellPlugin, замаскированной под безобидные изображения PNG

За пределами Play Store троян Necro распространяется в основном через модифицированные версии популярных приложений (моды), которые распространялись через неофициальные сайты.

Известные примеры включают моды WhatsApp* «GBWhatsApp» и «FMWhatsApp», которые обещают лучший контроль конфиденциальности и расширенные лимиты обмена файлами. Другим является мод Spotify, «Spotify Plus», который обещает бесплатный доступ к премиум-сервисам без рекламы.

В отчете также упоминаются моды для Minecraft и других популярных игр, таких как Stumble Guys, Car Parking Multiplayer и Melon Sandbox, которые были заражены загрузчиком Necro.

Во всех случаях вредоносное поведение было одинаковым — показ рекламы в фоновом режиме для получения мошеннического дохода злоумышленниками, установка приложений и APK без согласия пользователя и использование невидимых WebViews для взаимодействия с платными сервисами.

Поскольку неофициальные сайты программного обеспечения Android не предоставляют достоверных данных о количестве загрузок, общее число заражений этой последней волной трояна Necro неизвестно.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

1 комментарий

Добавить комментарий

Больше интересного

Актуальное

В Telegram теперь раскрывают IP-адрес и номер телефона пользователей по юридическим запросам
Разработчики сообщили об общедоступности Amazon Q generative SQL в Amazon Redshift Query Editor
В Microsoft выпустили новое решение VDI для Teams в средах AVD/Windows 365
Ещё…