Новая угроза: Necro Trojan атакует пользователей Android
В тревожном развитии событий для пользователей Android, исследователи безопасности из Kaspersky выявили новый вариант трояна Necro, который проникает на устройства через как легитимные приложения Google Play, так и измененные APK-файлы, найденные на неофициальных веб-сайтах. Этот сложный вредоносный софт представляет значительный риск, обладая способностями к краже конфиденциальной информации, установке дополнительного вредоносного ПО и выполнению команд удаленно на скомпрометированных устройствах.
Исследование Kaspersky привело к идентификации двух зараженных приложений в Google Play Store:
- Wuta Camera: более 10 миллионов загрузок.
- Max Browser: более 1 миллиона загрузок.
После предупреждения от Kaspersky, Google оперативно удалил эти приложения со своей платформы для защиты пользователей.
Модифицированные APK-файлы: скрытая угроза
Кроме того, исследователи обнаружили троян Necro, скрытый в неофициальных "модифицированных" версиях популярных приложений, таких как Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer и Melon Sandbox. Эти модифицированные APK-файлы, часто рекламируемые как предлагающие премиум-функции бесплатно, широко распространены на сторонних сайтах и представляют значительную угрозу для ничего не подозревающих пользователей.
Методы распространения, используемые злоумышленниками, разнообразны и хитроумны. Например, в моде Spotify использовался встроенный SDK для представления рекламных модулей. Если пользователь взаимодействовал с определенным модулем на основе изображения, полезная нагрузка трояна активировалась с сервера команд и управления (C&C). Аналогично, мод WhatsApp использовал облачный сервис Google Firebase Remote Config в качестве C&C-сервера, развертывая троян при взаимодействии пользователя с назначенным модулем.
Понимание возможностей Necro Trojan
После проникновения на устройство троян Necro может выполнять множество вредоносных действий, включая:
- Загрузка и установка дополнительных вредоносных файлов и приложений.
- Открытие невидимых окон браузера для выполнения вредоносного JavaScript-кода.
- Подписка пользователей на дорогостоящие платные услуги без их согласия.
- Кража конфиденциальных данных, включая учетные данные и финансовую информацию.
Рекомендации для пользователей
Хотя зараженные приложения в Google Play были удалены, угроза от модифицированных APK-файлов продолжает оставаться значительной. Kaspersky предлагает следующие рекомендации для защиты пользователей:
- Избегайте загрузки приложений из ненадежных сторонних источников.
- Устанавливайте приложения только из официальных магазинов приложений, таких как Google Play.
- Будьте осторожны с приложениями, которые утверждают, что предоставляют премиум-функции бесплатно.
- Рассмотрите возможность установки авторитетного мобильного антивирусного решения для повышения безопасности.