Malware de Android ‘Necro’ Infecta Más de 11M de Teléfonos Android

Los investigadores de seguridad de Kaspersky Lab Inc. han descubierto una nueva versión del malware Necro que ha sido instalado en al menos 11 millones de dispositivos Android a través de Google Play y fuentes de aplicaciones no oficiales.

Para aquellos que no lo saben, el malware Necro apareció por primera vez en 2019 en CamScanner, una aplicación para crear PDFs en teléfonos que fue descargada más de 100 millones de veces desde Google Play.

Sin embargo, la nueva variante del malware Necro es un cargador de múltiples etapas que utiliza métodos avanzados como la esteganografía y la ofuscación para evadir la detección y ocultar las cargas útiles.

Además, el malware fue instalado en dispositivos Android a través de kits de desarrollo de software (SDK) publicitarios maliciosos utilizados por aplicaciones legítimas en Google Play y versiones modificadas de software popular, como Spotify y WhatsApp, así como aplicaciones de juegos de Android como Minecraft, Stumble Guys, Car Parking Multiplayer y Melon Sandbox disponibles a través de tiendas de aplicaciones no oficiales.

Kaspersky encontró el nuevo malware Necro en dos aplicaciones en Google Play. La primera es “Wuta Camera”, una aplicación gratuita que ofrece embellecimiento en tiempo real, ajustes de rasgos faciales y filtros de maquillaje. Desarrollada por “Benqu”, esta aplicación tiene más de 10,000,000 descargas en Google Play.

Según Kaspersky, el cargador Necro estuvo presente desde la versión 6.3.2.148 hasta la 6.3.2.148 de Wuta Camera, cuando la empresa de seguridad notificó a Google.

Mientras que el código malicioso fue eliminado en la versión 6.3.7.138, los usuarios de Android que están utilizando una versión inferior aún están en riesgo y se les solicita que la actualicen de inmediato.

La segunda aplicación legítima que tenía el malware Necro es “Max Browser”, creada por “WA message “recover-warm.”

Este navegador web había sido descargado más de un millón de veces desde Google Play hasta que fue eliminado tras la notificación de Kaspersky.

Según Kaspersky, la última versión, 1.2.0, aún contiene el cargador Necro y está disponible en recursos de terceros. Aconseja a los usuarios que desinstalen esta versión de inmediato y cambien a otro navegador.

En ambos casos, Kaspersky dice que fueron infectados por un SDK publicitario llamado ‘Coral SDK’, que utilizó métodos de ofuscación para ocultar sus actividades maliciosas. También utilizó esteganografía de imágenes para la carga útil de segunda etapa, shellPlugin, disfrazada como imágenes PNG inofensivas.

Una vez que un dispositivo Android está infectado, el malware activa una serie de complementos maliciosos, como mostrar anuncios en ventanas invisibles en segundo plano para generar ingresos fraudulentos para los atacantes, módulos que descargan y ejecutan archivos JavaScript y DEX arbitrarios, instalan aplicaciones descargadas, se infiltran en el dispositivo de la víctima e incluso — potencialmente — cancelan suscripciones pagadas.

Si bien el número exacto de dispositivos Android infectados por este último malware Necro es desconocido, se estima que ha afectado al menos a 11 millones de dispositivos Android solo de Google Play.

Según Kaspersky, se observó que el malware estaba dirigido a decenas de miles de usuarios en Rusia, Brasil, Vietnam, Ecuador y México entre el 26 de agosto y el 15 de septiembre.

Para protegerse contra posibles amenazas, Kaspersky recomienda a los usuarios que actualicen las aplicaciones afectadas de Google Play a una versión donde se haya eliminado el código malicioso o que las eliminen de los dispositivos Android.

También aconseja a los usuarios que descarguen aplicaciones solo de fuentes oficiales y utilicen una solución de seguridad confiable para proteger el dispositivo de intentos de instalar malware.