В тревожном развитии событий для пользователей Android, недавние исследования выявили наличие троянского вредоносного ПО, известного как Necro Trojan, встроенного в два приложения на Google Play Store. Сообщается, что это вредоносное ПО скомпрометировало более 11 миллионов устройств, и фактическое количество пострадавших пользователей может быть значительно выше из-за его распространения через неофициальные каналы.
Модифицированные приложения
Исследователи из Kaspersky проследили происхождение Necro Trojan до двух основных источников. Во-первых, он проник в легитимные приложения, доступные на Play Store. Во-вторых, его обнаружили в модифицированных версиях популярных приложений, таких как кастомные итерации Spotify и Minecraft, которые пользователи часто загружают из неофициальных источников, практика известная как sideloading.
Расследование Kaspersky началось с модифицированной версии Spotify под названием Spotify Plus, которая ложно рекламировала себя как предоставляющую функции Spotify Premium бесплатно. Несмотря на утверждения о "проверке безопасности", анализ Kaspersky опроверг эти заявления, выявив, что приложение служит проводником для заражения устройств трояном. Исследователи также выявили троян в измененных версиях WhatsApp, в частности "GBWhatsApp" и "FMWhatsApp".
Кроме того, Necro Trojan был обнаружен в различных модификациях игр, включая Minecraft, Stumble Guys, Car Parking Multiplayer и Melon Sandbox. Kaspersky подчеркивает сложность оценки общего числа жертв, исходящих из этих неофициальных источников, поскольку основное внимание уделяется количеству загрузок пострадавших приложений на Play Store.
Приложения Play Store
Среди приложений, выявленных на Play Store, выделяется приложение Wuta Camera, которое было загружено более 10 миллионов раз. Изначально это приложение не было вредоносным; однако троян дебютировал в версии 6.3.2.148. К счастью, эта версия была удалена, что делает приложение снова безопасным для загрузки.
Кроме того, в приложении Max Browser был обнаружен троян, с более чем одним миллионом загрузок. Первая версия, содержащая вредоносное ПО, была 1.2.0, и после отчета Kaspersky Google полностью удалил Max Browser из своего магазина приложений.
Что делает Necro
После установки Necro malware может выполнять ряд вредоносных функций. Согласно BleepingComputer, его полезные нагрузки могут активировать вредоносные плагины, которые запускают adware, открывают ссылки в невидимых окнах, выполняют различные скрипты, инициируют мошеннические подписки и направляют вредоносный трафик через зараженное устройство.
Фактически, будь то через неофициальную загрузку приложения или скомпрометированное официальное приложение, такое как Max Browser или Wuta Camera, пользователи невольно способствуют прибыли злоумышленников путем взаимодействия с рекламой и запуска мошеннических подписок в фоновом режиме.
Как защитить свое устройство
Чтобы защитить свое Android-устройство, важно провести тщательное сканирование на наличие упомянутых приложений из Play Store. Если у вас есть приложение Wuta Camera, убедитесь, что вы немедленно обновите его или удалите с устройства. Для тех, у кого есть Max Browser, рекомендуется полностью удалить приложение, так как безопасных версий нет.
Кроме того, если у вас есть какие-либо из упомянутых модифицированных приложений, разумно удалить их со своего смартфона. В дальнейшем будьте осторожны с неофициальными загрузками. Хотя sideloading может расширить ваши возможности приложений, это также увеличивает риск случайной загрузки вредоносного ПО из-за отсутствия строгих проверок и регулирования.