Malware Android ‘Necro’ Infecta Mais de 11M de Telefones Android

Pesquisadores de segurança da Kaspersky Lab Inc. descobriram uma nova versão do malware Necro que foi instalada em pelo menos 11 milhões de dispositivos Android via Google Play e fontes de aplicativos não oficiais.

Para quem não sabe, o malware Necro surgiu pela primeira vez em 2019 no CamScanner, um aplicativo criador de PDF para telefone que foi baixado mais de 100 milhões de vezes no Google Play.

No entanto, a nova variante do malware Necro é um carregador de múltiplas etapas que usa métodos avançados como esteganografia e ofuscação para evitar detecção e esconder cargas úteis.

Além disso, o malware foi instalado em dispositivos Android através de kits de desenvolvimento de software (SDK) de publicidade maliciosa usados por aplicativos legítimos no Google Play e versões modificadas de software popular, como Spotify e WhatsApp, bem como aplicativos de jogos Android como Minecraft, Stumble Guys, Car Parking Multiplayer e Melon Sandbox disponíveis através de lojas de aplicativos não oficiais.

A Kaspersky encontrou o novo malware Necro em dois aplicativos no Google Play. O primeiro é “Wuta Camera”, um aplicativo gratuito que oferece embelezamento em tempo real, ajustes de características faciais e filtros de maquiagem. Desenvolvido por “Benqu”, este aplicativo tem mais de 10.000.000 de downloads no Google Play.

De acordo com a Kaspersky, o carregador Necro estava presente da versão 6.3.2.148 até 6.3.2.148 do Wuta Camera, quando a empresa de segurança notificou o Google.

Embora o código malicioso tenha sido removido na versão 6.3.7.138, os usuários Android que estão usando uma versão inferior a essa ainda estão em risco e são solicitados a atualizá-la imediatamente.

O segundo aplicativo legítimo que tinha o malware Necro é “Max Browser”, criado por “WA message “recover-warm.”

Este navegador web foi baixado mais de um milhão de vezes no Google Play até ser removido após a notificação da Kaspersky.

Segundo a Kaspersky, a versão mais recente, 1.2.0, ainda contém o carregador Necro e está disponível em recursos de terceiros. Ela aconselha os usuários a desinstalar esta versão imediatamente e mudar para um navegador diferente.

Em ambos os casos, a Kaspersky afirma que foram infectados por um SDK de publicidade chamado ‘Coral SDK’, que usou métodos de ofuscação para esconder suas atividades maliciosas. Ele também usou esteganografia de imagem para a carga útil de segunda etapa, shellPlugin, disfarçada como imagens PNG inofensivas.

Uma vez que um dispositivo Android é infectado, o malware ativa uma série de plugins maliciosos, como exibir anúncios em janelas invisíveis em segundo plano para gerar receita fraudulenta para os atacantes, módulos que baixam e executam arquivos JavaScript e DEX arbitrários, instalam aplicativos baixados, fazem túnel pelo dispositivo da vítima e até — potencialmente — cancelam assinaturas pagas.

Embora o número exato de dispositivos Android infectados por este último malware Necro seja desconhecido, estima-se que tenha afetado pelo menos 11 milhões de dispositivos Android apenas do Google Play.

De acordo com a Kaspersky, o malware foi visto visando dezenas de milhares de usuários na Rússia, Brasil, Vietnã, Equador e México entre 26 de agosto e 15 de setembro.

Para se proteger contra ameaças potenciais, a Kaspersky recomenda que os usuários atualizem os aplicativos afetados do Google Play para uma versão onde o código malicioso foi removido ou os excluam dos dispositivos Android.

Ela também aconselha os usuários a baixar aplicativos apenas de fontes oficiais e usar uma solução de segurança confiável para proteger o dispositivo contra tentativas de instalação de malware.