Kaspersky – Troianul Necro se strecoară în Google Play afectând până la 11 milioane de victime

O nouă versiune a troianului Necro, care infiltrase mai multe aplicații populare pe Google Play și modificase aplicații pe platforme neoficiale, inclusiv Spotify, WhatsApp și Minecraft, a fost identificată la sfârșitul lunii august 2024 de către experții Kaspersky.

Necro este un program de descărcare Android care descarcă și rulează alte componente rău intenționate pe dispozitivele infectate, pe baza comenzilor emise de creatorii troianului. Soluțiile Kaspersky au înregistrat* atacuri Necro care vizează utilizatori din Rusia, Brazilia, Vietnam, Ecuador și Mexic, ca parte a acestei campanii rău intenționate.

Capabilitățile troianului Necro

Varianta de Necro descoperită de experții Kaspersky poate descărca module pe smartphone-uri infectate care afișează reclame în ferestre invizibile și face click pe ele, descarcă fișiere executabile, instalează aplicații terțe și deschide link-uri arbitrare în ferestre WebView invizibile, pentru a executa codul JavaScript. Pe baza caracteristicilor sale tehnice, troianul este, de asemenea, probabil, capabil să aboneze utilizatorii la servicii plătite. În plus, modulele descărcate permit atacatorilor să redirecționeze traficul de internet prin dispozitivul victimei. Acest lucru le permite infractorilor cibernetici să viziteze resursele interzise sau dorite folosind dispozitivul victimei, utilizându-l potențial ca parte a unei rețele botnet proxy.

Aplicații infectate pe platforme neoficiale

Prima descoperire a lui Necro de către experții companiei a fost într-o versiune modificată a Spotify Plus. Creatorii aplicației au susținut că este sigură pentru dispozitive și au oferit funcții suplimentare care nu se găsesc în aplicația oficială de streaming de muzică. Ulterior, experții au găsit și o versiune modificată a WhatsApp care conținea Necro downloader, urmată de versiuni infectate ale jocurilor populare, inclusiv Minecraft, Stumble Guys și Car Parking Multiplayer. Necro a fost încorporat în aceste aplicații printr-un modul publicitar neverificat.

Aplicații infectate pe Google Play

Campania Necro s-a extins dincolo de platformele terțe și a fost descoperită și pe Google Play. Downloaderul rău intenționat a fost găsit în aplicația Wuta Camera și Max Browser. Conform statisticilor Google Play, numărul total de descărcări ale acestor aplicații a depășit 11 milioane. Pe această platformă, Necro a fost distribuit și printr-un modul publicitar neverificat. În urma raportului Kaspersky Lab către Google, codul rău intenționat a fost eliminat din Wuta Camera, iar Max Browser a fost scos din magazin. Cu toate acestea, utilizatorii riscă în continuare să întâlnească Necro pe platforme neoficiale.

Soluțiile de securitate Kaspersky protejează împotriva Necro și detectează programul de descărcare ca Trojan-Downloader.AndroidOS.Necro.f și Trojan-Downloader.AndroidOS.Necro.h, cu componentele rău intenționate identificate ca Trojan.AndroidOS.Necro.