Un ataque malicioso a la cadena de suministro del SDK instaló una nueva versión del cargador de malware Necro para Android en 11 millones de dispositivos a través de Google Play.
Esta nueva versión del troyano Necro se instaló a través de un kit de desarrollo de software (SDK) de publicidad maliciosa utilizado en aplicaciones legítimas, modificaciones de juegos de Android y versiones modificadas de software popular como Spotify, WhatsApp y Minecraft.
Necro instala múltiples cargas útiles en dispositivos infectados y activa varios complementos maliciosos, que incluyen:
Adware que carga enlaces a través de una ventana WebView invisible (complemento Island, Cube SDK) Módulos que descargan y ejecutan archivos JavaScript y DEX arbitrarios (Happy SDK, Jar SDK) Especialmente diseñados para facilitar el fraude de suscripciones Herramientas diseñadas (complemento web, Happy SDK, complemento Tap ) Mecanismos para enrutar tráfico malicioso utilizando dispositivos infectados como proxy (complemento NProxy)
Troyano Necro en Google Play
Kaspersky descubrió la presencia del cargador Necro en dos aplicaciones de Google Play. Ambas aplicaciones tienen una base de usuarios considerable.
La primera es la cámara Wuta “Benqu”. Esta es una herramienta de edición y embellecimiento de fotografías que se ha descargado más de 10 millones de veces en Google Play.
Aplicación de cámara Wuta en Google Play
Fuente: BleepingComputer
Los analistas de amenazas informan que Necro apareció en la aplicación con el lanzamiento de la versión 6.3.2.148 y permaneció integrado hasta la versión 6.3.6.148, momento en el que Kaspersky notificó a Google.
Aunque el troyano se eliminó en la versión 6.3.7.138, es posible que las cargas útiles que pueden haberse instalado con versiones anteriores aún estén al acecho en los dispositivos Android.
La segunda aplicación legítima impulsada por Necro fue Max Browser de WA message recovery-wamr, que se descargó 1 millón de veces en Google Play antes de ser eliminada luego de un informe de Kaspersky.
Kaspersky dice que la última versión de Max Browser, 1.2.0, todavía incluye Necro, por lo que no hay una versión limpia para actualizar, y se recomienda a los usuarios de este navegador web que lo desinstalen inmediatamente y cambien a otro navegador.
Según Kaspersky Lab, las dos aplicaciones están infectadas con un SDK publicitario llamado Coral SDK, que emplea ofuscación para ocultar actividad maliciosa y también utiliza esteganografía de imágenes para ser inofensiva. Se dice que la carga útil de la segunda etapa, shellPlugin, se descargó disfrazada de un. Imagen PNG.
Diagrama de necroinfección
Fuente: Kaspersky
Google le dijo a BleepingComputer que está al tanto de la aplicación reportada y está investigando.
Fuentes externas oficiales
Fuera de Play Store, Necro Trojan se propaga principalmente a través de versiones modificadas (MOD) de aplicaciones populares distribuidas a través de sitios web no oficiales.
Ejemplos notables descubiertos por Kaspersky incluyen GBWhatsApp y FMWhatsApp, modificaciones de WhatsApp que prometen controles de privacidad mejorados y límites ampliados para compartir archivos. También está Spotify Plus, un mod de Spotify que promete acceso gratuito a servicios premium sin publicidad.
Sitios web que difunden MODs maliciosos de Spotify
Fuente: Kaspersky
El informe también menciona modificaciones para Minecraft y otros juegos populares como Stumble Guys, Car Parking Multiplayer y Melon Sandbox que fueron infectados con el cargador Necro.
En todos los casos, el comportamiento malicioso fue el mismo. Esto significa publicar anuncios en segundo plano para generar ingresos ilícitos para los atacantes, instalar aplicaciones y APK sin su consentimiento y utilizar WebViews invisibles para interactuar con servicios pagos.
Se desconoce el número total de infecciones causadas por este último troyano Necro, ya que los sitios web no oficiales de software de Android no informan con precisión las cifras de descargas, pero al menos 11 millones de infecciones provinieron de Google Play.
https://www.bleepingcomputer.com/news/security/android-malware-necro-infects-11-million-devices-via-google-play/