Uma nova versão do loader de malware Necro para Android foi instalada em 11 milhões de dispositivos através do Google Play em ataques à cadeia de fornecimento de SDK maliciosos.
Esta nova versão do Trojan Necro foi instalada por meio de kits de desenvolvimento de software (SDKs) de publicidade maliciosos utilizados por aplicativos legítimos, mods de jogos para Android e versões modificadas de softwares populares, como Spotify, WhatsApp e Minecraft.
Necro instala vários payloads em dispositivos infectados e ativa diversos plugins maliciosos, incluindo:
- Adware que carrega links por meio de janelas WebView invisíveis (plugin Island, Cube SDK)
- Módulos que baixam e executam arquivos JavaScript e DEX arbitrários (Happy SDK, Jar SDK)
- Ferramentas projetadas especificamente para facilitar a fraude de assinaturas (plugin Web, Happy SDK, plugin Tap)
- Mecanismos que usam dispositivos infectados como proxies para rotear tráfego malicioso (plugin NProxy)
A Kaspersky descobriu a presença do loader Necro em dois aplicativos no Google Play, ambos com uma base substancial de usuários.
O primeiro é o Wuta Camera da 'Benqu', uma ferramenta de edição e embelezamento de fotos com mais de 10.000.000 de downloads no Google Play.
Os analistas de ameaças relatam que o Necro apareceu no aplicativo com o lançamento da versão 6.3.2.148, e permaneceu embutido até a versão 6.3.6.148, momento em que a Kaspersky notificou o Google.
Embora o Trojan tenha sido removido na versão 6.3.7.138, quaisquer payloads que possam ter sido instalados por meio das versões antigas ainda podem se esconder em dispositivos Android.
O segundo aplicativo legítimo que continha Necro é o Max Browser da 'WA message recover-wamr', que teve 1 milhão de downloads no Google Play até ser removido, seguindo o relatório da Kaspersky.
A Kaspersky afirma que a última versão do Max Browser, 1.2.0, ainda contém o Necro, então não há uma versão limpa disponível para atualização, e é recomendado aos usuários do navegador web que o desinstalem imediatamente e mudem para um navegador diferente.
A Kaspersky diz que os dois aplicativos foram infectados por um SDK de publicidade chamado 'Coral SDK', que empregou ofuscação para esconder suas atividades maliciosas e também esteganografia de imagem para baixar o payload de segunda fase, shellPlugin, disfarçado como imagens PNG inofensivas.
Fora da Play Store, o Trojan Necro é disseminado principalmente por meio de versões modificadas de aplicativos populares (mods) distribuídos por sites não oficiais.
Exemplos notáveis identificados pela Kaspersky incluem os mods do WhatsApp 'GBWhatsApp' e 'FMWhatsApp', que prometem melhores controles de privacidade e limites ampliados para compartilhamento de arquivos.
Outro é o mod do Spotify, 'Spotify Plus', que promete acesso gratuito a serviços premium sem anúncios.
O relatório também menciona mods do Minecraft e mods para outros jogos populares como Stumble Guys, Car Parking Multiplayer e Melon Sandbox, que foram infectados com o loader Necro.
Em todos os casos, o comportamento malicioso foi o mesmo: exibir anúncios em segundo plano para gerar receita fraudulenta para os atacantes, instalar aplicativos e APKs sem o consentimento do usuário e usar WebViews invisíveis para interagir com serviços pagos.
Como os sites de software Android não oficiais não informam números de download de forma confiável, o número total de infecções por essa última onda do Trojan Necro é desconhecido, mas é de pelo menos 11 milhões a partir do Google Play.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...