Малварь Android ‘Necro’ заразила более 11 миллионов телефонов Android

Исследователи безопасности из Kaspersky Lab Inc. обнаружили новую версию малвари Necro, которая была установлена на как минимум 11 миллионах устройств Android через Google Play и неофициальные источники приложений.

Для тех, кто не в курсе, малварь Necro впервые появилась в 2019 году в CamScanner, приложении для создания PDF-документов на телефоне, которое было загружено более 100 миллионов раз из Google Play.

Однако новая версия малвари Necro является многоступенчатым загрузчиком, который использует продвинутые методы, такие как стеганография и обфускация, чтобы избежать обнаружения и скрыть полезные нагрузки.

Кроме того, малварь была установлена на устройства Android через вредоносные рекламные программные комплекты (SDK), используемые легитимными приложениями в Google Play и модифицированными версиями популярных программ, таких как Spotify и WhatsApp, а также играми для Android, такими как Minecraft, Stumble Guys, Car Parking Multiplayer и Melon Sandbox, доступными через неофициальные магазины приложений.

Kaspersky обнаружил новую малварь Necro в двух приложениях на Google Play. Первое — «Wuta Camera», бесплатное приложение, предлагающее улучшение в реальном времени, корректировку черт лица и фильтры для макияжа. Разработанное «Benqu», это приложение имеет более 10,000,000 загрузок на Google Play.

Согласно Kaspersky, загрузчик Necro присутствовал с версии 6.3.2.148 до 6.3.2.148 Wuta Camera, когда компания безопасности уведомила Google.

Хотя вредоносный код был удален в версии 6.3.7.138, пользователи Android, использующие версию ниже этой, все еще находятся под угрозой и должны немедленно обновить ее.

Второе легитимное приложение, в котором была малварь Necro, — «Max Browser», созданное «WA message “recover-warm.”

Этот веб-браузер был загружен более миллиона раз из Google Play, пока его не удалили после уведомления Kaspersky.

Согласно Kaspersky, последняя версия, 1.2.0, все еще содержит загрузчик Necro и доступна на сторонних ресурсах. Она советует пользователям немедленно удалить эту версию и перейти на другой браузер.

В обоих случаях Kaspersky утверждает, что они были заражены рекламным SDK под названием ‘Coral SDK’, который использовал методы обфускации, чтобы скрыть свои вредоносные действия. Он также использовал стеганографию изображений для полезной нагрузки второго этапа, shellPlugin, замаскированной под безвредные изображения PNG.

Как только устройство Android заражается, малварь активирует ряд вредоносных плагинов, таких как отображение рекламы в невидимых окнах на заднем плане для генерации мошеннического дохода для злоумышленников, модули, которые загружают и выполняют произвольные файлы JavaScript и DEX, устанавливают загруженные приложения, проникают через устройство жертвы и даже — потенциально — оформляют платные подписки.

Хотя точное количество устройств Android, зараженных этой последней малварью Necro, неизвестно, предполагается, что она затронула как минимум 11 миллионов устройств Android только из Google Play.

Согласно Kaspersky, малварь была замечена, нацеленной на десятки тысяч пользователей в России, Бразилии, Вьетнаме, Эквадоре и Мексике с 26 августа по 15 сентября.

Чтобы защититься от потенциальных угроз, Kaspersky рекомендует пользователям обновить затронутые приложения Google Play до версии, в которой вредоносный код был удален, или удалить их с устройств Android.

Также рекомендуется загружать приложения только из официальных источников и использовать надежное решение безопасности для защиты устройства от попыток установки малвари.