El troyano Necro ataca una vez más a los usuarios de Android y se cree que hasta 11 millones de personas han estado expuestas a aplicaciones infectadas.
Kaspersky descubrió por primera vez la campaña Necro en 2019, exponiendo aproximadamente 100 millones de dispositivos al cuentagotas Necro. El objetivo principal de Necro dropper es instalar otros tipos de malware en el dispositivo infectado.
Esto es similar a muchos casos que involucran malware para Android. Se falsifican aplicaciones populares o se promocionan los llamados mods, lo que en última instancia provoca infecciones de malware. Por lo general, estas aplicaciones se descargan en dispositivos Android, pero algunas de estas aplicaciones también están diseñadas para Play Store.
Un ejemplo es Wuta Camera, una aplicación de edición de fotografías para selfies desarrollada por Shanghai Venkmark Network Technology. La aplicación se ha descargado más de 10 millones de veces, según su página de Google Play, que aún está activa y admite descargas. El desarrollador afirma en la descripción de Play Store que en realidad se ha descargado casi 200 millones de veces.
El otro es Max Browser, que se comercializa como un navegador centrado en la privacidad para Android y ha sido descargado más de 1 millón de veces, según las métricas de Play Store.
Google ha solucionado problemas tanto con Wuta Camera como con Max Browser, obligando a las actualizaciones de aplicaciones a eliminar el código Necro de la primera y eliminando el segundo de Play Store por completo.
El desarrollador de Kaspersky, Dmitry Kalinin, que realizó la investigación, dijo que la descarga de aplicaciones falsas y las modificaciones legítimas de aplicaciones legítimas también son un problema grave.
Hay muchas modificaciones a aplicaciones populares como Spotify. Algunas son convenientes, otras no. Una de las modificaciones que Kalinin destacó fue ofrecer funciones premium de forma gratuita, lo que siempre debería hacer sonar las alarmas, pero desafortunadamente todavía parece estar funcionando.
WhatsApp también es un objetivo común para modificaciones maliciosas, lo que no sorprende dada la popularidad mundial de la aplicación de mensajería. También ha sido objeto de investigaciones anteriores de Kaspersky que encontraron mods cargados con software espía y otros troyanos.
Los modders maliciosos también apuntan a aplicaciones comúnmente utilizadas por niños, incluidos los populares juegos Minecraft y Stumble Guys. Es probable que estos usuarios no sean conscientes de la amenaza que representan los mods no verificados, e incluso este reportero, que alguna vez favoreció uno o dos mods COD4 cuestionables, descarga e instala mods. También tiene conocimientos técnicos.
Desde una perspectiva de seguridad, esta no es una combinación ideal. Otro problema es la disponibilidad de modificaciones legales, seguras y útiles para las aplicaciones, lo que hace más difícil saber cuáles son confiables y cuáles no.
El análisis del troyano realizado por Kaspersky Lab reveló que la estructura de la carga útil y la carga útil coinciden con versiones anteriores del troyano y la familia de malware Necro.
Este no es el malware más dañino del mundo. Los investigadores no mencionaron el robo de datos como mensajes privados o fotografías.
Las principales cargas útiles descargadas en los dispositivos de las víctimas también se han mantenido prácticamente sin cambios, centrándose principalmente en mostrar anuncios intrusivos y robar dinero mediante el cobro de tarifas de suscripción falsas a las cuentas.
Sin embargo, eso no significa que Necro no haya cambiado por completo. La última versión del troyano de varias etapas utiliza esteganografía para ocultar la carga útil dentro del código de una imagen PNG, una técnica que Kalinin describió como “muy inusual para el malware móvil”.
El blog de Kaspersky tiene una lista completa de indicadores de compromiso (IOC). Para evitar este tipo de infecciones, generalmente es aconsejable no descargar nada de fuentes sospechosas. Es realmente básico.
The Register contactó a Google para hacer comentarios, ya que Play Store está en el centro de muchas historias de malware para Android, pero no recibió respuesta al momento de la publicación. ®
https://www.theregister.com/2024/09/23/necro_malware_android/
