A Necro malware 11 millió Android eszközt fertőzött meg a Google Playen keresztül

A Google Playen keresztül 11 millió Android eszközre telepítették a Necro malware új verzióját, a Necro Trojan-t, rosszindulatú SDK (Software Development Kits) supply chain támadások során. A Necro számos rosszindulatú programot tölt be és különböző rosszindulatú bővítményt aktivál a fertőzött eszközökön, úgymint:

  • Reklámprogramok, amelyek láthatatlan „WebView” ablakokon keresztül töltik be a linkeket (Island plugin, Cube SDK)
  • Tetszőleges JavaScript és DEX fájlokat letöltő és végrehajtó modulok (Happy SDK, Jar SDK)
  • Kifejezetten az előfizetési csalások megkönnyítésére szolgáló eszközök (web plugin, Happy SDK, Tap plugin)
  • Olyan mechanizmusok, amelyek fertőzött eszközöket használnak proxyként a rosszindulatú forgalom irányításához (NProxy plugin)

Necro a Google Playen

A Kaspersky felfedezte a Necro-t a Google Play két alkalmazásában is. Az egyik a Wuta Camera, amely több mint 10 millió letöltéssel rendelkezik.

1. ábra Wuta Camera forrás: BleepingComputer

 

A Necro a 6.3.2.148-as verzió kiadásával jelent meg az alkalmazásban, és egészen a 6.3.6.148-as verzióig maradt benne. A másik alkalmazás pedig a Max Browser, amelyet több, mint 1 millióan töltöttek le a Google Playről.

A Kaspersky szerint mindkét alkalmazást egy “Coral SDK” nevű, hirdetési funkciók integrálására készült szoftverfejlesztő készlet segítségével fertőzték meg, amely obfuszkációt alkalmazott a rosszindulatú tevékenységek elrejtésére, valamint szteganográfiát is használt a shellPlugin letöltéséhez, mindezt egy ártalmatlannak tűnő PNG kép mögé rejtve.

2. ábra Necro fertőzés forrás: Kaspersky

 

Necro a Google Playen kívül

A Necro Trojan-t a nem hivatalos weboldalakon, népszerű alkalmazások módosított verzióinak álcázva terjesztik: úgymint a WhatsAppnál a “GBWhatsApp” és az “FMWhatsApp”, vagy a Spotify esetében a “Spotify Plus”, illetve a játékok esetében a Minecraft, a Stumble Guys, a Car Parking Multiplayer vagy a Melon Sandbox rosszindulatú másolataival.

3. ábra Rosszindulatú Spotify modot terjesztő webhely forrás: Kaspersky

 

A Google arról tájékoztatta a BleepingComputert, hogy az említett alkalmazások összes rosszindulatú verziója eltávolításra került a Google Playről.

(bleepingcomputer.com)