Το Necro malware loader έχει μολύνει 11 εκατ. συσκευές μέσω Google Play

Μια νέα έκδοση του Necro malware loader εγκαταστάθηκε σε 11 εκατομμύρια Android συσκευές μέσω του Google Play.

Η νέα έκδοση του Necro Trojan εγκαταστάθηκε μέσω κακόβουλων advertising software development kits (SDK) που χρησιμοποιούνται από νόμιμες εφαρμογές, Android game mods και τροποποιημένες εκδόσεις δημοφιλούς λογισμικού, όπως το Spotify, το WhatsApp και το Minecraft.

Το Necro μπορεί να εγκαταστήσει πολλά κακόβουλα payloads σε μολυσμένες συσκευές και ενεργοποιεί διάφορα κακόβουλα plugins, όπως:

• Adware που φορτώνει συνδέσμους μέσω αόρατων παραθύρων WebView (Island plugin, Cube SDK)
• Modules που κατεβάζουν και εκτελούν αρχεία JavaScript και DEX (Happy SDK, Jar SDK)
• Εργαλεία που διευκολύνουν απάτες με συνδρομές (Web plugin, Happy SDK, Tap plugin)
• Μηχανισμούς που χρησιμοποιούν μολυσμένες συσκευές ως proxies για τη δρομολόγηση κακόβουλου traffic (NProxy plugin)

Δείτε επίσης: Ajina.Banker: Νέο Android malware κλέβει οικονομικά στοιχεία

Το Necro malware διανέμεται μέσω Google Play

Η Kaspersky ανακάλυψε την παρουσία του Necro malware loader σε δύο εφαρμογές στο Google Play:

• Wuta Camera της «Benqu»: ένα εργαλείο επεξεργασίας και ωραιοποίησης φωτογραφιών με πάνω από 10.000.000 λήψεις στο Google Play. Το Necro εμφανίστηκε στην εφαρμογή με την κυκλοφορία της έκδοσης 6.3.2.148 και παρέμεινε ενσωματωμένο μέχρι την έκδοση 6.3.6.148, οπότε η Kaspersky ειδοποίησε την Google. Το trojan αφαιρέθηκε στην έκδοση 6.3.7.138, αλλά τυχόν payloads που μπορεί να είχαν εγκατασταθεί από παλαιότερες εκδόσεις μπορεί να κρύβονται ακόμα σε συσκευές Android.

• Max Browser από «WA message recover-wamr»: νόμιμη εφαρμογή με 1 εκατομμύριο λήψεις στο Google Play μέχρι να καταργηθεί. Η Kaspersky ισχυρίζεται ότι η τελευταία έκδοση του Max Browser, 1.2.0, έφερε το Necro, επομένως δεν υπάρχει διαθέσιμη καθαρή έκδοση για αναβάθμιση. Οι χρήστες καλούνται να το απεγκαταστήσουν και να μεταβούν σε διαφορετικό πρόγραμμα περιήγησης.

Η Kaspersky λέει ότι οι δύο εφαρμογές μολύνθηκαν από ένα διαφημιστικό SDK με το όνομα «Coral SDK», το οποίο έκρυβε τις κακόβουλες δραστηριότητές του και κατέβαζε ένα payload δεύτερου σταδίου, το shellPlugin, το οποίο παρουσιαζόταν ως μια κανονική εικόνα PNG.

Πώς αλλιώς διανέμεται το Necro malware loader

Εκτός του Google Play Store, το Necro Trojan διαδίδεται κυρίως μέσω τροποποιημένων εκδόσεων δημοφιλών εφαρμογών (mods), που διανέμονται μέσω ανεπίσημων ιστότοπων.

Δείτε επίσης: Το Vo1d malware έχει μολύνει 1.3 εκατ. Android streaming boxes

Για παράδειγμα, η Kaspersky εντόπισε τα WhatsApp mods ‘GBWhatsApp’ και ‘FMWhatsApp’, τα οποία υπόσχονται καλύτερους ελέγχους απορρήτου και εκτεταμένα όρια κοινής χρήσης αρχείων. Ένα άλλο είναι το Spotify mod, ‘Spotify Plus’, το οποίο υπόσχεται δωρεάν πρόσβαση σε premium υπηρεσίες χωρίς διαφημίσεις.

Επίσης, βρέθηκαν Minecraft mods και mods για άλλα δημοφιλή παιχνίδια όπως το Stumble Guys, το Car Parking Multiplayer και το Melon Sandbox, τα οποία φέρουν το Necro malware loader για να μολύνουν συσκευές.

Σε όλες τις περιπτώσεις, η κακόβουλη συμπεριφορά ήταν η ίδια: εμφάνιση διαφημίσεων στο παρασκήνιο, εγκατάσταση εφαρμογών και APK χωρίς τη συγκατάθεση του χρήστη και χρήση αόρατων WebViews για αλληλεπίδραση με υπηρεσίες επί πληρωμή.

Δεδομένου ότι κακόβουλες εφαρμογές βρίσκονται παντού, οι χρήστες πρέπει να επιβεβαιώνουν πάντα την αυθεντικότητα μια εφαρμογής πριν την εγκατάσταση. Αυτό μπορεί να γίνει ελέγχοντας τον προγραμματιστή της εφαρμογής και τα σχόλια των χρηστών.

Δείτε επίσης: TrickMo: Android Banking Malware που επιτίθεται σε χρήστες για κλοπή credentials σύνδεσης

Επιπλέον, οι χρήστες μπορούν να επισκέπτονται τον επίσημο ιστότοπο μιας υπηρεσίας και να βρίσκουν εκεί το link για τη λήψη της εφαρμογής από το κατάστημα εφαρμογών.

Επίσης, είναι σημαντικό να γίνεται έλεγχος των αδειών που ζητούν οι εφαρμογές, ακόμα και αν βρίσκονται στο Google Play. Εάν μια εφαρμογή ζητά πρόσβαση σε προσωπικές πληροφορίες που δεν φαίνεται να χρειάζονται για τη λειτουργία της, είναι καλύτερο να αποφύγετε την εγκατάστασή της.

Απαραίτητη είναι και η χρήση αξιόπιστων λογισμικών ασφαλείας και η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών. Τέλος, οι χρήστες πρέπει να αποφεύγουν την κοινοποίηση των προσωπικών τους πληροφοριών σε αναξιόπιστες πηγές.

Πηγή: www.bleepingcomputer.com