Η επιδημία του κακόβουλου λογισμικού στο Android: Το Necro μολύνει εκατομμύρια συσκευές από το Google Play

Μια νέα έκδοση του Necro malware loader για Android εγκαταστάθηκε σε 11 εκατομμύρια συσκευές μέσω του Google Play σε κακόβουλες επιθέσεις στην αλυσίδα εφοδιασμού SDK.

Αυτή η νέα έκδοση του Necro Trojan εγκαταστάθηκε μέσω κιτ ανάπτυξης λογισμικού κακόβουλης διαφήμισης (SDK) που χρησιμοποιούνται από νόμιμες εφαρμογές, τροποποιήσεις παιχνιδιών Android και τροποποιημένες εκδόσεις δημοφιλούς λογισμικού, όπως το Spotify, το WhatsApp και το Minecraft.

Η Necro εγκαθιστά πολλά ωφέλιμα φορτία σε μολυσμένες συσκευές και ενεργοποιεί διάφορα κακόβουλα πρόσθετα, όπως:

• Adware που φορτώνει συνδέσμους μέσω αόρατων παραθύρων WebView (προσθήκη Island, Cube SDK)
• Ενότητες που κατεβάζουν και εκτελούν αυθαίρετα αρχεία JavaScript και DEX (Happy SDK, Jar SDK)
• Εργαλεία ειδικά σχεδιασμένα για τη διευκόλυνση της απάτης στις συνδρομές (προσθήκη Web, Happy SDK, πρόσθετο Tap)
• Μηχανισμοί που χρησιμοποιούν μολυσμένες συσκευές ως διακομιστή μεσολάβησης για τη δρομολόγηση κακόβουλης κυκλοφορίας (πρόσθετο NProxy)

Necro Trojan στο Google Play

Kaspersky ανακαλυφθείς την παρουσία Necro loader σε δύο εφαρμογές στο Google Play, οι οποίες έχουν και οι δύο σημαντική βάση χρηστών.

Το πρώτο είναι το Wuta Camera της «Benqu», ένα εργαλείο επεξεργασίας και ωραιοποίησης φωτογραφιών με πάνω από 10.000.000 λήψεις στο Google Play.

Οι αναλυτές απειλών αναφέρουν ότι το Necro εμφανίστηκε στην εφαρμογή με την κυκλοφορία της έκδοσης 6.3.2.148 και παρέμεινε ενσωματωμένο μέχρι την έκδοση 6.3.6.148, οπότε η Kaspersky ειδοποίησε την Google.

Ενώ το trojan καταργήθηκε στην έκδοση 6.3.7.138, τυχόν ωφέλιμα φορτία που μπορεί να είχαν εγκατασταθεί μέσω των παλαιότερων εκδόσεων ενδέχεται να εξακολουθούν να κρύβονται σε συσκευές Android.

Η δεύτερη νόμιμη εφαρμογή που έφερε το Necro είναι το Max Browser από το «WA message recover-wamr», το οποίο είχε 1 εκατομμύριο λήψεις στο Google Play μέχρι να καταργηθεί, μετά την αναφορά της Kaspersky.

Η Kaspersky ισχυρίζεται ότι η τελευταία έκδοση του Max Browser, 1.2.0, εξακολουθεί να φέρει Necro, επομένως δεν υπάρχει διαθέσιμη καθαρή έκδοση για αναβάθμιση και συνιστάται στους χρήστες του προγράμματος περιήγησης ιστού να το απεγκαταστήσουν αμέσως και να μεταβούν σε διαφορετικό πρόγραμμα περιήγησης.

Η Kaspersky λέει ότι οι δύο εφαρμογές μολύνθηκαν από ένα διαφημιστικό SDK με το όνομα «Coral SDK», το οποίο χρησιμοποιούσε συσκότιση για να κρύψει τις κακόβουλες δραστηριότητές του και επίσης στεγανογραφία εικόνας για τη λήψη του δεύτερου σταδίου ωφέλιμου φορτίου, το shellPlugin, μεταμφιεσμένο σε αβλαβείς εικόνες PNG.
,

Η Google είπε στο BleepingComputer ότι γνώριζε τις αναφερόμενες εφαρμογές και τις ερευνούσε.

Εξωτερικές επίσημες πηγές

Εκτός του Play Store, το Necro Trojan διαδίδεται κυρίως μέσω τροποποιημένων εκδόσεων δημοφιλών εφαρμογών (mods) που διανέμονταν μέσω ανεπίσημων ιστότοπων.

Αξιοσημείωτα παραδείγματα που εντόπισε η Kaspersky περιλαμβάνουν τα mod WhatsApp «GBWhatsApp» και «FMWhatsApp», τα οποία υπόσχονται καλύτερους ελέγχους απορρήτου και εκτεταμένα όρια κοινής χρήσης αρχείων. Ένα άλλο είναι το Spotify mod, «Spotify Plus», το οποίο υπόσχεται δωρεάν πρόσβαση σε premium υπηρεσίες χωρίς διαφημίσεις.

Η αναφορά αναφέρει επίσης mods και mods του Minecraft για άλλα δημοφιλή παιχνίδια όπως το Stumble Guys, το Car Parking Multiplayer και το Melon Sandbox, τα οποία είχαν μολυνθεί από τον Necro loader.

Σε όλες τις περιπτώσεις, η κακόβουλη συμπεριφορά ήταν η ίδια—εμφάνιση διαφημίσεων στο παρασκήνιο για τη δημιουργία δόλιων εσόδων για τους εισβολείς, εγκατάσταση εφαρμογών και APK χωρίς τη συγκατάθεση του χρήστη και χρήση αόρατων WebViews για αλληλεπίδραση με υπηρεσίες επί πληρωμή.

Καθώς οι ανεπίσημοι ιστότοποι λογισμικού Android δεν αναφέρουν αξιόπιστα αριθμούς λήψης, ο συνολικός αριθμός μολύνσεων από αυτό το τελευταίο κύμα Necro Trojan είναι άγνωστος, αλλά είναι τουλάχιστον 11 εκατομμύρια από το Google Play.