В мире мобильных приложений привлекательность модифицированных версий часто соблазняет пользователей, стремящихся к улучшенным функциям или персонализации. Однако этот поиск индивидуализации может привести к непредвиденным рискам, особенно когда эти модификации содержат вредоносное ПО. Недавние расследования выявили возрождение трояна Necro, сложного вредоносного ПО, которое проникло как в популярные приложения, так и в их неофициальные аналоги.
Как распространяется Necro
В конце августа 2024 года модификация Spotify под названием Spotify Plus привлекла наше внимание. Эта версия, доступная для загрузки на различных неофициальных сайтах, утверждала, что предлагает множество функций, отсутствующих в официальном приложении. Для оценки ее безопасности мы провели тщательный анализ последней версии. Наши выводы показали, что мод включал пользовательский подкласс Application, который инициализировал SDK под названием adsrun, предназначенный для интеграции нескольких рекламных модулей. При активации этот SDK связывался с сервером команд и управления, передавая зашифрованные данные о скомпрометированном устройстве.
Ответ сервера включал код ошибки, указывающий на успешное выполнение, а также ссылку на загрузку PNG-файла, содержащего скрытую полезную нагрузку. Этот файл, интригующе названный "shellP", предполагал скрытую функциональность в своих пиксельных значениях. Процесс извлечения этой полезной нагрузки использовал простую стеганографическую технику, в конечном итоге приводя к выполнению вредоносного кода.
Популярные приложения в Google Play заражены Necro
Наш поиск по телеметрии показал, что загрузчик Necro также внедрился в легитимные приложения, доступные в Google Play, затрагивая базу пользователей более чем 11 миллионов устройств Android. Примеры включают приложение Wuta Camera, которое было загружено более 10 миллионов раз. Загрузчик Necro был обнаружен начиная с версии 6.3.2.148, и после сообщения о вредоносном коде Google оперативно удалил его из последующих обновлений.
Аналогично, приложение Max Browser с более чем миллионом установок было найдено с загрузчиком Necro начиная с версии 1.2.0. После нашего уведомления Google принял меры по удалению зараженной версии с их платформы.
Моды WhatsApp с загрузчиком Necro
Помимо основных приложений, мы выявили моды WhatsApp, циркулирующие в неофициальных каналах, которые содержали загрузчик Necro. Эти приложения демонстрировали уникальную операционную схему, используя Firebase Remote Config от Google в качестве механизма команд и управления. Вредоносный код демонстрировал высокую вероятность выполнения при выполнении определенных условий во время выполнения.
Другие зараженные приложения
Наше расследование на этом не закончилось; мы также обнаружили зараженные игровые моды, включая популярные названия такие как:
- Minecraft
- Stumble Guys
- Car Parking Multiplayer
- Melon Sandbox
Широта зараженных приложений на различных платформах подчеркивает необходимость бдительности при выборе источников приложений. Наши решения по безопасности успешно выявили и отметили эти угрозы, подчеркивая важность использования доверенных источников для загрузки приложений.
Жизненный цикл Necro в дикой природе: как работает полезная нагрузка
Через тщательный анализ мы получили несколько образцов полезной нагрузки, выполненных загрузчиком Necro. Эти полезные нагрузки демонстрировали характеристики, соответствующие семейству Necro, включая взаимодействие с известными доменами команд и управления. Модульная архитектура вредоносного ПО позволяет гибко обновлять и вводить новые вредоносные модули, адаптируясь к изменяющемуся ландшафту мобильных угроз.