Android-Malware ‚Necro‘ infiziert über 11 Millionen Android-Handys

Sicherheitsforscher von Kaspersky Lab Inc. haben eine neue Version der Necro-Malware entdeckt, die auf mindestens 11 Millionen Android-Geräten über Google Play und inoffizielle App-Quellen installiert wurde.

Für diejenigen, die es nicht wissen, tauchte die Necro-Malware erstmals 2019 in CamScanner auf, einer PDF-Erstellungs-App für Telefone, die mehr als 100 Millionen Mal aus Google Play heruntergeladen wurde.

Die neue Variante der Necro-Malware ist jedoch ein mehrstufiger Loader, der fortschrittliche Methoden wie Steganographie und Obfuskation verwendet, um Erkennung zu vermeiden und Payloads zu verbergen.

Darüber hinaus wurde die Malware auf Android-Geräte durch bösartige Werbe-Software-Entwicklungskits (SDK) installiert, die von legitimen Apps auf Google Play und modifizierten Versionen beliebter Software wie Spotify und WhatsApp sowie Android-Spiel-Apps wie Minecraft, Stumble Guys, Car Parking Multiplayer und Melon Sandbox, die über inoffizielle App-Stores verfügbar sind, verwendet wurden.

Kaspersky fand die neue Necro-Malware in zwei Apps auf Google Play. Die erste ist „Wuta Camera“, eine kostenlose App, die Echtzeit-Verschönerung, Anpassungen der Gesichtszüge und Make-up-Filter anbietet. Entwickelt von „Benqu“, hat diese App über 10.000.000 Downloads auf Google Play.

Laut Kaspersky war der Necro-Loader von Version 6.3.2.148 bis 6.3.2.148 von Wuta Camera vorhanden, als das Sicherheitsunternehmen Google informierte.

Während der bösartige Code in Version 6.3.7.138 entfernt wurde, sind Android-Nutzer, die eine niedrigere Version verwenden, weiterhin gefährdet und werden gebeten, sie sofort zu aktualisieren.

Die zweite legitime App, die die Necro-Malware hatte, ist „Max Browser“, erstellt von „WA message „recover-warm.“

Dieser Webbrowser wurde über eine Million Mal aus Google Play heruntergeladen, bis er nach der Benachrichtigung von Kaspersky entfernt wurde.

Laut Kaspersky enthält die neueste Version, 1.2.0, weiterhin den Necro-Loader und ist auf Drittanbieter-Ressourcen verfügbar. Es wird den Nutzern geraten, diese Version sofort zu deinstallieren und zu einem anderen Browser zu wechseln.

In beiden Fällen sagt Kaspersky, dass sie durch ein Werbe-SDK namens ‚Coral SDK‘ infiziert wurden, das Obfuskationsmethoden verwendete, um seine bösartigen Aktivitäten zu verbergen. Es verwendete auch Bildsteganographie für die Payload der zweiten Stufe, shellPlugin, die als harmlose PNG-Bilder getarnt war.

Sobald ein Android-Gerät infiziert ist, aktiviert die Malware eine Reihe bösartiger Plugins, wie das Anzeigen von Werbung in unsichtbaren Fenstern im Hintergrund, um betrügerische Einnahmen für die Angreifer zu generieren, Module, die beliebige JavaScript- und DEX-Dateien herunterladen und ausführen, heruntergeladene Apps installieren, durch das Gerät des Opfers tunneln und sogar – möglicherweise – kostenpflichtige Abonnements kündigen.

Während die genaue Anzahl der von dieser neuesten Necro-Malware infizierten Android-Geräte unbekannt ist, wird geschätzt, dass sie mindestens 11 Millionen Android-Geräte allein von Google Play betroffen hat.

Laut Kaspersky wurde die Malware zwischen dem 26. August und dem 15. September beobachtet, als sie zehntausende von Nutzern in Russland, Brasilien, Vietnam, Ecuador und Mexiko ins Visier nahm.

Um sich gegen potenzielle Bedrohungen zu schützen, empfiehlt Kaspersky den Nutzern, die betroffenen Google Play-Apps auf eine Version zu aktualisieren, in der der bösartige Code entfernt wurde, oder sie von Android-Geräten zu löschen.

Es wird auch geraten, Apps nur aus offiziellen Quellen herunterzuladen und eine vertrauenswürdige Sicherheitslösung zu verwenden, um das Gerät vor Versuchen zu schützen, Malware zu installieren.