Новая итерация вредоносного ПО Necro, впервые появившегося в 2019 году, недавно была выявлена на как минимум 11 миллионах устройств. Это тревожное открытие было сделано исследователями из Kaspersky Lab Inc., которые обнаружили, что вредоносное ПО проникло на устройства Android через приложения, распространяемые через Google Play. Инфильтрация произошла через вредоносные рекламные комплекты разработки программного обеспечения, встроенные в различные приложения, а также через модификации игр и измененные версии популярных приложений, доступных в неофициальных магазинах приложений.
Инфицированные приложения и их влияние
Среди скомпрометированных приложений была Wuta Camera, которая была загружена более 10 миллионов раз с Google Play. Еще одно пострадавшее приложение, Max Browser, имело более 1 миллиона загрузок. Оба приложения были удалены с платформы Google. Исследования Kaspersky показывают, что эти приложения были заражены через рекламный SDK под названием “Coral SDK,” который использовал техники обфускации для сокрытия своих вредоносных действий.
Второй этап загрузки вредоносного ПО использует стеганографию изображений через компонент под названием “shellPlugin,” маскируясь под безобидное изображение. Как только устройство Android становится жертвой вредоносного ПО, оно начинает выполнять серию скрытых действий: отображение рекламы в невидимых окнах, автоматическое нажатие на них, загрузка исполняемых файлов, установка сторонних приложений и открытие произвольных ссылок в скрытых окнах для выполнения JavaScript. Вредоносное ПО также способно подписывать пользователей на платные услуги без их согласия и перенаправлять интернет-трафик через зараженные устройства, эффективно используя их в качестве прокси.
Мнения экспертов по предотвращению
Кэти Тейтлер-Сантулло, стратег по кибербезопасности в OX Appsec Security Ltd., подчеркнула важность бдительности среди разработчиков приложений. В электронном письме SiliconANGLE она отметила: “Хотя пользователи не могут контролировать, какие SDK используются в приложениях, разработчики действительно могут проверить, что SDK не был изменен.”
Тейтлер-Сантулло посоветовала разработчикам убедиться, что SDK подписаны действительными сертификатами и получены от надежных поставщиков. Она также подчеркнула необходимость сканирования исходного кода на наличие вредоносного контента и несанкционированного доступа, что может помочь выявить, был ли код изменен или подвержен эксплуатации. “Всегда лучшее практическое решение для команд AppSec проводить различные виды сканирования, включая SAST, DAST, зависимость и оценку уязвимостей, как для выявления проблем до развертывания, так и во время выполнения,” добавила она.