Epoch Times România
Acasă    
Societate, cultură    
Știință si tehnologie

Malware-ul Android „Necro” infectează 11 milioane de dispozitive prin Google Play

Redacţia
26.09.2024

video

Federaţia rusă investeşte în influenţarea alegerilor din R. Moldova. Expert, despre vectorii Kremlinului şi sumele pompate de Putin
Bătaia cu furci şi săbii din spital. Descinderi cu mascaţi, elicopter şi drone la cei implicaţi în scandal
Mamă de erou al Revoluţiei cere Dreptate: L-am îngropat în costum de mire. Pe corp avea urme de tortură
Mamă de erou al Revoluţiei: "Cu durere în suflet, ce ţară e asta care nu îşi respectă eroii?"
Victimă a "Jandarmeriadei" din 10 august: Am ajuns la spital, pe perfuzii. Mi-au pulverizat în faţă dintr-o butelie cu gaz

Mai multe articole

(Captură Foto)
Redacţia
26.09.2024
Share

O nouă versiune a încărcătorului malware Necro pentru Android a fost instalată pe 11 milioane de dispozitive prin intermediul Google Play în cadrul unor atacuri maliţioase în lanţul de aprovizionare SDK, potrivit Bleeping Computer.

Această nouă versiune a troianului Necro a fost instalată prin intermediul kiturilor de dezvoltare software (SDK) publicitare maliţioase utilizate de aplicaţii legitime, moduri de jocuri Android şi versiuni modificate ale unor software-uri populare, precum Spotify, WhatsApp şi Minecraft.

Necro instalează mai multe sarcini utile pe dispozitivele infectate şi activează diverse plugin-uri maliţioase, inclusiv:

  • Adware care încarcă link-uri prin ferestre webview invizibile (Island plugin, Cube SDK)
  • Module care descarcă şi execută fişiere arbitrare javascript şi DEX (Happy SDK, Jar SDK)
  • Instrumente special concepute pentru a facilita fraudarea abonamentelor (Web plugin, Happy SDK, Tap plugin)
  • Mecanisme care utilizează dispozitive infectate ca proxy-uri pentru a direcţiona traficul maliţios (plugin NProxy)

Troianul Necro pe Google Play

Kaspersky a descoperit prezenţa încărcătorului Necro pe două aplicaţii de pe Google Play, ambele având o bază substanţială de utilizatori.

Prima este Wuta Camera by „Benqu”, un instrument de editare şi înfrumuseţare a fotografiilor cu peste 10.000.000 de descărcări pe Google Play.

Analiştii de ameninţări raportează că Necro a apărut pe aplicaţie odată cu lansarea versiunii 6.3.2.148 şi a rămas încorporat până la versiunea 6.3.6.148, care este momentul în care Kaspersky a notificat Google.

Deşi troianul a fost eliminat în versiunea 6.3.7.138, orice sarcină utilă care ar fi putut fi instalată prin intermediul versiunilor mai vechi ar putea încă să se ascundă pe dispozitivele Android.

A doua aplicaţie legitimă care a purtat Necro este Max Browser by „WA message recover-wamr”, care a avut 1 milion de descărcări pe Google Play până când a fost eliminată, în urma raportului Kaspersky.

Kaspersky susţine că ultima versiune a Max Browser, 1.2.0, încă poartă Necro, deci nu există o versiune curată disponibilă pentru a face upgrade, iar utilizatorilor browserului web li se recomandă să îl dezinstaleze imediat şi să treacă la un alt browser.

Kaspersky spune că cele două aplicaţii au fost infectate de un SDK publicitar numit „Coral SDK”, care a folosit ofuscare pentru a-şi ascunde activităţile maliţioase şi, de asemenea, steganografie de imagine pentru a descărca sarcina utilă din a doua etapă, shellPlugin, deghizată în imagini PNG inofensive.

Google a declarat pentru BleepingComputer că are cunoştinţă de aplicaţiile raportate şi că le investighează.

În afara surselor oficiale

În afara Magazinului Play, troianul Necro este răspândit în principal prin versiuni modificate ale aplicaţiilor populare (mods) care au fost distribuite prin intermediul site-urilor web neoficiale.

Printre exemplele notabile reperate de Kaspersky se numără modurile WhatsApp „GBWhatsApp” şi „FMWhatsApp”, care promit controale mai bune ale confidenţialităţii şi limite extinse de partajare a fişierelor. Un altul este modulul Spotify, „Spotify Plus”, care promite acces gratuit la servicii premium fără reclame.

Raportul menţionează, de asemenea, modurile Minecraft şi modurile pentru alte jocuri populare, precum Stumble Guys, Car Parking Multiplayer şi Melon Sandbox, care au fost infectate cu încărcătorul Necro.

În toate cazurile, comportamentul maliţios a fost acelaşi - afişarea de reclame în fundal pentru a genera venituri frauduloase pentru atacatori, instalarea de aplicaţii şi APK-uri fără consimţământul utilizatorului şi utilizarea de WebViews invizibile pentru a interacţiona cu servicii plătite.

Deoarece site-urile neoficiale de software Android nu raportează în mod fiabil numărul de descărcări, numărul total de infecţii cauzate de acest ultim val de troieni Necro este necunoscut, dar este de cel puţin 11 milioane din Google Play.

România are nevoie de o presă neaservită politic şi integră, care să-i asigure viitorul. Vă invităm să ne sprijiniţi prin donaţii: folosind PayPal
sau prin transfer bancar direct în contul (lei) RO56 BTRL RONC RT03 0493 9101 deschis la Banca Transilvania pe numele Asociația Timpuri Epocale
sau prin transfer bancar direct în contul (euro) RO06 BTRL EURC RT03 0493 9101, SWIFT CODE BTRLRO22 deschis la Banca Transilvania pe numele Asociația Timpuri Epocale
O presă independentă nu poate exista fără sprijinul cititorilor
Robot (Shutterstock)
Profeţii tehnologiei - Sam Altman, CEO-ul OpenAI anunţă „Era inteligenţei”
Garda de Coastă italiană, căutând de supravieţuitori după scufundarea iahtului magnatului Mike Lynch (Getty Images)
Epava iahtului magnatului Mike Lynch, sub pază strictă. Două hard disk-uri aflate în adâncuri, ţinta mai multor guverne
Serghei Lavrov, Vladimir Putin - arhivă (POOL/AFP via Getty Images)
Kremlinul cheltuie sume uriaşe în influenţarea alegerilor din R. Moldova: Finanţează ilegal zeci de candidaţi şi partide, mituiesc alegători [expert]
Sediul central al Organizaţiei Internaţionale a Comerţului - Geneva, Elveţia. (Robert Hradil/Getty Images)
Despre viitoarea schimbare a cadrului comercial mondial
Matrix  
Intrăm în etapa de cenzură totală
O imagine la microscopul electronic arată SARS-CoV-2 (obiecte rotunde aurii), care provoacă COVID-19, ieşind din celulele cultivate. (NIAID)
Cercetătorii de la UCSF identifică principalul motor din spatele COVID şi Long COVID şi oferă un potenţial tratament
Matrix  
Experimentul brazilian - Amenda de 9.000 USD pentru accesarea X ridică un "zid al cenzurii" între cetăţeni şi informaţiile nereglementate
Tim Walz (Andrew Harnik/Getty Images)
Pentagonul tace mâlc cu privire la călătoriile frecvente ale lui Tim Walz în China
Dependenţa de mâncare (The Epoch Times, Shutterstock)
Gândul la mâncare îţi domină mintea? Află cum să preiei din nou controlul!
Candle vigil-light în Calea Victoriei, în spaţiul ce înconjoară statuia lui Carol I, organizat de practicanţii Falun Gong. (Epoch Times România / Mihuţ Savu)
"Oamenii sunt băgaţi în lagăre de muncă, torturaţi, sacrificaţi" - 25 de ani de crime în masă despre care presa mainstream nu vorbeşte
Erik Prince, fondatorul Blackwater (Mark Wilson / Getty Images)
Atentatul împotriva lui Trump - fondatorul companiei Blackwater dezmembrează prestaţia Serviciului Secret
Steagul Partidului Comunist Chinez, caricatură publicată în ziarul Jyllands-Posten. China a criticat vehement publicaţia pentru lezarea imaginii Partidului-stat (Jyllands-Posten / Niels Bo Bojesen)
Următoarea pandemie dezvoltată de China ar putea fi cauzată de Nipah - crede un fost profesor la Stanford