24 de septiembre de 2024Ravie LakshmananSeguridad móvil/malware
Se utilizaron versiones modificadas de aplicaciones legítimas de Android relacionadas con Spotify, WhatsApp y Minecraft para distribuir nuevas versiones de un conocido cargador de malware llamado Necro.
Kaspersky dijo que algunas de las aplicaciones maliciosas también se encontraron en Google Play Store. El número acumulado de descargas ha alcanzado los 11 millones de veces.
Wuta Camera – Siempre una buena foto (com.benqu.wuta) – Más de 10 millones de descargas Max Browser-Private & Security (com.max.browser) – Más de 1 millón de descargas
Al momento de escribir este artículo, Max Browser ya no está disponible para descargar desde Play Store. Mientras tanto, Wuta Camera se ha actualizado para eliminar malware (versión 6.3.7.138). La última versión de la aplicación, 6.3.8.148, se lanzó el 8 de septiembre de 2024.
En este momento, no está claro cómo ambas aplicaciones fueron infectadas con malware, pero se cree que el culpable es un kit de desarrollo de software malicioso (SDK) que integra funcionalidad publicitaria.
Necro (que no debe confundirse con la botnet del mismo nombre) fue descubierto por primera vez por una empresa rusa de ciberseguridad en 2019 escondido dentro de una popular aplicación de escaneo de documentos llamada CamScanner.
CamScanner afirmó más tarde que el problema fue causado por un SDK de publicidad proporcionado por un tercero llamado AdHub. Según la compañía, este SDK contiene un módulo malicioso que recupera la siguiente etapa del malware desde un servidor remoto, actuando esencialmente como un cargador para todo tipo de malware en el dispositivo de la víctima.
Las versiones más nuevas del malware no son diferentes, pero incorporan técnicas de ofuscación para evadir la detección, utilizando específicamente esteganografía para ocultar la carga útil.
“La carga útil descargada puede mostrar y manipular anuncios en ventanas invisibles, descargar y ejecutar archivos DEX arbitrarios o instalar aplicaciones descargadas”, dijo el investigador Dmitry Kalinin.
También puede “abrir enlaces arbitrarios en una ventana WebView invisible, ejecutar código JavaScript dentro de ellos y potencialmente hacer un túnel a través del dispositivo de la víctima y suscribirse a servicios pagos”.
Uno de los principales canales de distribución de Necro es a través de versiones modificadas de aplicaciones y juegos populares alojados en sitios y tiendas de aplicaciones no oficiales. Una vez descargada, la aplicación inicializa un módulo llamado Coral SDK, que luego envía una solicitud HTTP POST al servidor remoto.
Luego, el servidor responde con un enlace a un archivo de imagen PNG, probablemente alojado en adoss.spinsok(.)com, del cual el SDK extrae la carga útil principal (un archivo Java codificado en Base64).
La funcionalidad maliciosa de Necro se logra a través de un conjunto de módulos adicionales (también conocidos como complementos) que se descargan desde servidores de comando y control (C2), lo que le permite realizar una amplia gama de acciones en dispositivos Android infectados.
NProxy: crea un túnel a través del dispositivo de la víctima. Isla: genera un número pseudoaleatorio utilizado como intervalo de tiempo (en milisegundos) entre la visualización de anuncios intrusivos. web: se conecta periódicamente a un servidor C2 y ejecuta código arbitrario con privilegios elevados al cargar un enlace específico. Cube SDK: módulo auxiliar que carga otros complementos para manejar anuncios en segundo plano. Tap: descarga código JavaScript arbitrario y una interfaz WebView desde un servidor C2 que carga y muestra anuncios en secreto. Happy SDK/Jar SDK: un módulo que combina el módulo NProxy y el módulo web, con algunas diferencias.
El descubrimiento del Happy SDK plantea la posibilidad de que los actores de amenazas detrás de esta campaña también estén experimentando con una versión no modular.
“Esto sugiere que Necro es muy adaptable y puede descargar diferentes versiones de sí mismo, tal vez para introducir nuevas características”, dijo Kalinin.
Según los datos de telemetría recopilados por Kaspersky, la empresa bloqueó más de 10.000 ataques Necro en todo el mundo entre el 26 de agosto de 2024 y el 15 de septiembre de 2024, incluidos Rusia, Brasil, Vietnam, Ecuador. Los ataques más comunes provinieron de México, Taiwán, España y Malasia. , Italia y Turquía.
“Esta nueva versión es un cargador de múltiples etapas que utiliza esteganografía para ocultar la carga útil de la segunda etapa. Esta es una técnica muy inusual en el malware móvil, y la ofuscación también se utiliza para evitar la detección”.
“La arquitectura modular proporciona a los autores de troyanos una amplia gama de opciones para entregar actualizaciones del cargador y nuevos módulos maliciosos en grandes cantidades y a los objetivos, dependiendo de la aplicación infectada”.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/necro-android-malware-found-in-popular.html
