Google Play ha vuelto a facilitar, sin querer, una campaña de malware a gran escala. El caballo de Troya llamado Necro ha regresado y vuelve a infectar dispositivos.
En 2019, Kaspersky Lab descubrió el caballo de Troya Necro dentro de una aplicación de escaneo de documentos. Esta vez, el malware ha sido nuevamente detectado por una empresa rusa de ciberseguridad. Versiones personalizadas de aplicaciones populares como Spotify y Minecraft fueron infectadas con Necro. Estas versiones modificadas de aplicaciones de Android parecían modificaciones legítimas del software, pero contenían anuncios invisibles que secretamente cargaban malware.
no puedo ver
El cargador de malware Necro funciona de forma sigilosa. Se utiliza un truco inteligente. Descarga imágenes que parecen inofensivas pero que en realidad contienen código oculto. Este código es ejecutado por las herramientas de Android tan pronto como se cargan los píxeles de la imagen. Los piratas informáticos detrás de Necro optaron por ocultar el código malicioso dentro de los valores de color azul de la imagen.
Este truco estaba oculto en el SDK de Coral. Este software utiliza adsrun, una herramienta que agrega anuncios a las aplicaciones. Los usuarios suelen descargar estas aplicaciones infectadas de sitios web no oficiales, evitando así los controles de seguridad de Google. Sin embargo, algunas aplicaciones aprobadas por Google Play también utilizan este SDK. Esto significa que al menos 11 millones de dispositivos están definitivamente infectados, y el número real probablemente sea mucho mayor. Kaspersky no pudo determinar cifras exactas porque muchas de las descargas provienen de fuentes de terceros.
función
Una vez instalado, Necro puede causar estragos de diversas formas. Puede crear una ventana invisible para otras cargas maliciosas, descargar archivos DEX o ejecutar código JavaScript en el navegador WebView. Kaspersky advierte que esto podría llevar a que los usuarios se registren en servicios pagos sin su conocimiento.
Google eliminó la aplicación de Play Store donde Kaspersky Lab descubrió Necro. Esto incluye la aplicación de cámara Wuta y Max Browser, que irónicamente afirmaba estar centrado en la privacidad y la seguridad.
Esta nueva versión de Necro muestra lo versátil y peligroso que es. A diferencia de la variante de 2019, ahora tiene una arquitectura no modular. Los investigadores de Kaspersky creen que esta diversidad facilita que los piratas informáticos agreguen nuevas funciones. Además, el cargador puede implementar diferentes versiones del malware.
El malware se dirige principalmente a Rusia y Brasil, pero se ha extendido por todo el mundo. En Europa, España, Italia y Alemania son los países más afectados, según datos de Kaspersky.
Lea también: El malware BingoMod toma el control de los dispositivos Android
https://www.techzine.eu/news/security/124699/11-million-android-phones-infected-through-invisible-ads/
