Androidマルウェア「Necro」が1100万台以上のAndroidフォンに感染

Kaspersky Lab Inc.のセキュリティ研究者は、Google Playおよび非公式アプリソースを通じて、少なくとも1100万台のAndroidデバイスにインストールされた新しいバージョンのNecroマルウェアを発見しました。

知らない方のために、Necroマルウェアは2019年にCamScannerというPDF作成アプリで初めて登場し、Google Playから1億回以上ダウンロードされました。

しかし、新しいバリアントのNecroマルウェアは、検出を回避しペイロードを隠すために、ステガノグラフィーや難読化などの高度な手法を使用するマルチステージローダーです。

さらに、このマルウェアは、Google Playの正規アプリで使用される悪意のある広告ソフトウェア開発キット（SDK）や、SpotifyやWhatsAppなどの人気ソフトウェアの改変版、Minecraft、Stumble Guys、Car Parking Multiplayer、Melon SandboxなどのAndroidゲームアプリを通じて非公式アプリストアからインストールされました。

Kasperskyは、Google Playの2つのアプリで新しいNecroマルウェアを発見しました。最初のアプリは「Wuta Camera」で、リアルタイムの美化、顔の特徴調整、メイクフィルターを提供する無料アプリです。「Benqu」によって開発され、このアプリはGoogle Playで1000万回以上ダウンロードされています。

Kasperskyによると、NecroローダーはWuta Cameraのバージョン6.3.2.148から6.3.2.148まで存在しており、セキュリティ会社がGoogleに通知した際に、悪意のあるコードが削除されました。

バージョン6.3.7.138で悪意のあるコードは削除されましたが、それよりも古いバージョンを使用しているAndroidユーザーは依然としてリスクにさらされており、直ちに更新するよう求められています。

Necroマルウェアが含まれていた2つ目の正規アプリは、「Max Browser」で、「WA message “recover-warm”」によって作成されました。

このウェブブラウザは、Kasperskyの通知後に削除されるまで、Google Playから100万回以上ダウンロードされていました。

Kasperskyによると、最新バージョンの1.2.0にはまだNecroローダーが含まれており、サードパーティのリソースで入手可能です。ユーザーにはこのバージョンを直ちにアンインストールし、別のブラウザに切り替えるようにアドバイスしています。

両方のケースで、Kasperskyは、悪意のある活動を隠すために難読化手法を使用した「Coral SDK」という広告SDKによって感染したと述べています。また、2段階のペイロードであるshellPluginは、無害なPNG画像として偽装された画像ステガノグラフィーを使用しました。

Androidデバイスが感染すると、マルウェアは、攻撃者のために不正な収益を生成するためにバックグラウンドで目に見えないウィンドウに広告を表示する、任意のJavaScriptおよびDEXファイルをダウンロードして実行する、ダウンロードしたアプリをインストールする、被害者のデバイスをトンネルする、さらには有料サブスクリプションを取得する可能性があるなどの一連の悪意のあるプラグインをアクティブにします。

この最新のNecroマルウェアに感染したAndroidデバイスの正確な数は不明ですが、少なくともGoogle Playから1100万台以上のAndroidデバイスに影響を与えたと推定されています。

Kasperskyによると、マルウェアは8月26日から9月15日の間にロシア、ブラジル、ベトナム、エクアドル、メキシコの数万人のユーザーをターゲットにしているのが確認されています。

潜在的な脅威から保護するために、Kasperskyは、悪意のあるコードが削除されたバージョンに影響を受けたGoogle Playアプリを更新するか、Androidデバイスから削除するようにユーザーに推奨しています。

また、ユーザーには公式ソースからのみアプリをダウンロードし、デバイスをマルウェアのインストール試行から保護するために信頼できるセキュリティソリューションを使用するようにアドバイスしています。