Появление новой версии загрузчика вредоносного ПО Necro вызвало значительные опасения в области кибербезопасности, особенно среди пользователей Android. Этот сложный вредоносный софт проник примерно на 11 миллионов устройств через Google Play, используя вредоносные комплекты для разработки программного обеспечения (SDK), встроенные в легитимные приложения. Эти SDK были обнаружены в различных модификациях игр для Android и измененных версиях широко используемого ПО, включая Spotify, WhatsApp и Minecraft.
Функциональные возможности Necro Trojan
После установки троян Necro разворачивает ряд вредоносных нагрузок, активируя различные плагины, предназначенные для эксплуатации пользователей. Основные функциональные возможности включают:
- Adware, работающий через невидимые окна WebView, используя плагины, такие как Island и Cube SDK.
- Модули, способные загружать и выполнять произвольные JavaScript и DEX файлы через Happy SDK и Jar SDK.
- Инструменты, специально разработанные для мошенничества с подписками, включая Web plugin, Happy SDK и Tap plugin.
- Механизмы, которые перепрофилируют зараженные устройства в прокси для маршрутизации вредоносного трафика, например, плагин NProxy.
Necro Trojan в Google Play
Расследование Kaspersky выявило присутствие загрузчика Necro в двух популярных приложениях, доступных на Google Play, оба из которых имеют значительную пользовательскую базу. Первое приложение, Wuta Camera от ‘Benqu’, является инструментом для редактирования фотографий, который был загружен более 10 миллионов раз. Вредоносное ПО было введено в версию 6.3.2.148 и сохранялось до версии 6.3.6.148, после чего Kaspersky уведомила Google. Хотя троян был удален в версии 6.3.7.138, остатки вредоносного ПО могут все еще оставаться на устройствах, на которых ранее были установлены затронутые версии.
Второе приложение, идентифицированное как носитель Necro Trojan, это Max Browser от ‘WA message recover-wamr’, которое собрало 1 миллион загрузок до его удаления после обнаружений Kaspersky. Последняя версия, 1.2.0, все еще содержит вредоносное ПО, оставляя пользователей без возможности безопасного обновления. Kaspersky рекомендует немедленно удалить Max Browser в пользу более безопасных альтернатив.
Анализ показал, что оба приложения были скомпрометированы через рекламный SDK под названием ‘Coral SDK’, который использовал техники обфускации для сокрытия своих вредоносных намерений. Кроме того, он использовал стеганографию изображений для загрузки вторичной нагрузки, shellPlugin, замаскированной под безобидные PNG изображения.
Распространение за пределами официальных источников
За пределами Play Store троян Necro преимущественно распространяется через модифицированные версии популярных приложений, доступные на неофициальных веб-сайтах. Kaspersky выявила несколько известных примеров, включая моды WhatsApp, такие как ‘GBWhatsApp’ и ‘FMWhatsApp’, которые утверждают, что предлагают улучшенные функции конфиденциальности и расширенные возможности обмена файлами. Другой пример — мод Spotify ‘Spotify Plus’, который обещает бесплатный доступ к премиум-услугам без рекламы.
Отчет также подчеркивает распространенность модов Minecraft и других игровых модификаций, таких как те для Stumble Guys, Car Parking Multiplayer и Melon Sandbox, все из которых были скомпрометированы загрузчиком Necro. В каждом случае поведение вредоносного ПО остается неизменным — отображение рекламы в фоновом режиме для генерации дохода.