Malware Android ‘Necro’ Infetta Oltre 11M di Telefoni Android

I ricercatori di sicurezza di Kaspersky Lab Inc. hanno scoperto una nuova versione del malware Necro che è stata installata su almeno 11 milioni di dispositivi Android tramite Google Play e fonti di app non ufficiali.

Per chi non lo sapesse, il malware Necro è emerso per la prima volta nel 2019 in CamScanner, un’app per la creazione di PDF su telefono che è stata scaricata più di 100 milioni di volte da Google Play.

Tuttavia, la nuova variante del malware Necro è un loader multi-stadio che utilizza metodi avanzati come la steganografia e l’oscuramento per eludere il rilevamento e nascondere i payload.

Inoltre, il malware è stato installato sui dispositivi Android tramite kit di sviluppo software (SDK) pubblicitari dannosi utilizzati da app legittime su Google Play e versioni modificate di software popolari, come Spotify e WhatsApp, così come app di giochi Android come Minecraft, Stumble Guys, Car Parking Multiplayer e Melon Sandbox disponibili tramite negozi di app non ufficiali.

Kaspersky ha trovato il nuovo malware Necro in due app su Google Play. La prima è “Wuta Camera,” un’app gratuita che offre abbellimento in tempo reale, regolazioni delle caratteristiche facciali e filtri per il trucco. Sviluppata da “Benqu,” quest’app ha oltre 10.000.000 di download su Google Play.

Secondo Kaspersky, il loader Necro era presente dalla versione 6.3.2.148 fino alla 6.3.2.148 di Wuta Camera, quando la società di sicurezza ha notificato Google.

Sebbene il codice dannoso sia stato rimosso nella versione 6.3.7.138, gli utenti Android che utilizzano una versione inferiore sono ancora a rischio e sono invitati ad aggiornare immediatamente.

La seconda app legittima che aveva il malware Necro è “Max Browser,” creata da “WA message “recover-warm.”

Questo browser web era stato scaricato oltre un milione di volte da Google Play fino a quando non è stato rimosso dopo la notifica di Kaspersky.

Secondo Kaspersky, l’ultima versione, 1.2.0, contiene ancora il loader Necro ed è disponibile su risorse di terze parti. Consiglia agli utenti di disinstallare immediatamente questa versione e passare a un browser diverso.

In entrambi i casi, Kaspersky afferma che sono stati infettati da un SDK pubblicitario chiamato ‘Coral SDK,’ che ha utilizzato metodi di oscuramento per nascondere le sue attività dannose. Ha anche utilizzato la steganografia delle immagini per il payload di secondo stadio, shellPlugin, travestito da immagini PNG innocue.

Una volta che un dispositivo Android è infettato, il malware attiva una serie di plugin dannosi, come la visualizzazione di annunci in finestre invisibili in background per generare entrate fraudolente per gli attaccanti, moduli che scaricano ed eseguono file JavaScript e DEX arbitrari, installano app scaricate, tunnel attraverso il dispositivo della vittima e persino - potenzialmente - attivano abbonamenti a pagamento.

Sebbene il numero esatto di dispositivi Android infettati da questo ultimo malware Necro sia sconosciuto, si stima che abbia colpito almeno 11 milioni di dispositivi Android solo da Google Play.

Secondo Kaspersky, il malware è stato visto mirare a decine di migliaia di utenti in Russia, Brasile, Vietnam, Ecuador e Messico tra il 26 agosto e il 15 settembre.

Per proteggersi da potenziali minacce, Kaspersky raccomanda agli utenti di aggiornare le app Google Play interessate a una versione in cui il codice dannoso è stato rimosso o di eliminarle dai dispositivi Android.

Consiglia inoltre agli utenti di scaricare app solo da fonti ufficiali e di utilizzare una soluzione di sicurezza affidabile per proteggere il dispositivo da tentativi di installare malware.