Malware Android ‘Necro’ infecte plus de 11 millions de téléphones Android

Les chercheurs en sécurité de Kaspersky Lab Inc. ont découvert une nouvelle version du malware Necro qui a été installé sur au moins 11 millions d’appareils Android via Google Play et des sources d’applications non officielles.

Pour ceux qui ne le savent pas, le malware Necro est apparu pour la première fois en 2019 dans CamScanner, une application de création de PDF sur téléphone qui a été téléchargée plus de 100 millions de fois depuis Google Play.

Cependant, le nouveau variant du malware Necro est un chargeur multi-étapes qui utilise des méthodes avancées comme la stéganographie et l’obfuscation pour échapper à la détection et cacher les charges utiles.

De plus, le malware a été installé sur des appareils Android via des kits de développement de logiciels publicitaires (SDK) malveillants utilisés par des applications légitimes sur Google Play et des versions modifiées de logiciels populaires, tels que Spotify et WhatsApp, ainsi que des applications de jeux Android comme Minecraft, Stumble Guys, Car Parking Multiplayer et Melon Sandbox disponibles via des magasins d’applications non officiels.

Kaspersky a trouvé le nouveau malware Necro dans deux applications sur Google Play. La première est “Wuta Camera,” une application gratuite offrant une beautification en temps réel, des ajustements de caractéristiques faciales et des filtres de maquillage. Développée par “Benqu,” cette application a plus de 10 000 000 de téléchargements sur Google Play.

Selon Kaspersky, le chargeur Necro était présent de la version 6.3.2.148 jusqu’à 6.3.2.148 de Wuta Camera, lorsque la société de sécurité a informé Google.

Bien que le code malveillant ait été supprimé dans la version 6.3.7.138, les utilisateurs Android utilisant une version inférieure à celle-ci sont toujours à risque et sont priés de la mettre à jour immédiatement.

La deuxième application légitime qui avait le malware Necro est “Max Browser,” créée par “WA message “recover-warm.”

Ce navigateur web avait été téléchargé plus d’un million de fois depuis Google Play jusqu’à ce qu’il soit retiré suite à la notification de Kaspersky.

Selon Kaspersky, la dernière version, 1.2.0, contient toujours le chargeur Necro et est disponible sur des ressources tierces. Il conseille aux utilisateurs de désinstaller cette version immédiatement et de passer à un autre navigateur.

Dans les deux cas, Kaspersky indique qu’ils ont été infectés par un SDK publicitaire nommé ‘Coral SDK,’ qui a utilisé des méthodes d’obfuscation pour cacher ses activités malveillantes. Il a également utilisé la stéganographie d’image pour la charge utile de deuxième étape, shellPlugin, déguisée en images PNG inoffensives.

Une fois qu’un appareil Android est infecté, le malware active une gamme de plugins malveillants, comme l’affichage d’annonces dans des fenêtres invisibles en arrière-plan pour générer des revenus frauduleux pour les attaquants, des modules qui téléchargent et exécutent des fichiers JavaScript et DEX arbitraires, installent des applications téléchargées, tunnellent à travers l’appareil de la victime, et même — potentiellement — prennent des abonnements payants.

Bien que le nombre exact d’appareils Android infectés par ce dernier malware Necro soit inconnu, il est estimé qu’il a affecté au moins 11 millions d’appareils Android rien que depuis Google Play.

Selon Kaspersky, le malware a été observé ciblant des dizaines de milliers d’utilisateurs en Russie, au Brésil, au Vietnam, en Équateur et au Mexique entre le 26 août et le 15 septembre.

Pour se protéger contre les menaces potentielles, Kaspersky recommande aux utilisateurs de mettre à jour les applications Google Play affectées vers une version où le code malveillant a été supprimé ou de les supprimer des appareils Android.

Il conseille également aux utilisateurs de télécharger des applications uniquement à partir de sources officielles et d’utiliser une solution de sécurité fiable pour protéger l’appareil contre les tentatives d’installation de malware.