El proveedor de antimalware Kaspersky Lab informó que se descubrió que dos aplicaciones que se descargaron un total de aproximadamente 11 millones de veces en la tienda oficial de aplicaciones Google Play estaban infectadas con el troyano Necro.
Necro, un cargador de múltiples etapas, se descubrió por primera vez en 2019 después de infectar CamScanner, una aplicación móvil de creación de PDF que se descargó más de 100 millones de veces en Google Play.
Las nuevas variantes de malware actualmente en circulación se distribuyen tanto a través de aplicaciones en Google Play como de versiones modificadas de aplicaciones y juegos populares disponibles en fuentes no oficiales.
Una de estas aplicaciones, Wuta Camera, ha sido descargada más de 10 millones de veces, según la telemetría de Google Play. Otra aplicación, Max Browser, se ha descargado más de 1 millón de veces desde la tienda de aplicaciones oficial. Kaspersky dijo que desde entonces las versiones infectadas de ambas aplicaciones han sido eliminadas de Google Play.
Según documentos de Kaspersky Lab, el malware descubrió modificaciones no oficiales ocultas para juegos populares como Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer y Melon Sandbox.
La compañía dijo que la presencia de Necro en aplicaciones distribuidas desde diversas fuentes puede explicarse porque los desarrolladores de aplicaciones utilizan soluciones no confiables para la integración de anuncios.
El MOD infectado con Spotify contiene un SDK para integrar múltiples módulos publicitarios, incluido uno que envía información del dispositivo y de la aplicación a un servidor de comando y control (C&C) y recibe cargas útiles ocultas en imágenes.
Sin embargo, el cargador inyectado dentro del mod de WhatsApp era diferente y usaba el servicio en la nube Firebase Remote Config de Google para C&C, pero finalmente condujo a la ejecución de la misma carga útil.
anuncio publicitario. Desplázate para seguir leyendo.
En ambos casos, el dispositivo de la víctima fue infectado con un caballo de Troya que tiene una serie de características asociadas con la familia Necro, incluido código y funcionalidad similares, estructura de carga similar y uso de servidores Necro C&C conocidos.
“La variante Necro descubierta por los expertos de Kaspersky Lab descarga módulos en teléfonos inteligentes infectados que muestran anuncios en ventanas invisibles en las que se puede hacer clic, descargar archivos ejecutables o ejecutar aplicaciones de terceros. Pueden abrir enlaces arbitrarios en una ventana WebView invisible y ejecutar JavaScript. código”, añadió Kaspersky.
Además, el malware puede suscribir a los usuarios a servicios pagos y el módulo puede usar el dispositivo de la víctima como proxy para redirigir el tráfico de Internet.
Según Kaspersky Lab, se observó que el troyano atacaba a decenas de miles de usuarios en Rusia, Brasil, Vietnam, Ecuador y México entre el 26 de agosto y el 15 de septiembre.
SecurityWeek envió un correo electrónico a Google solicitando una declaración sobre la infiltración de Necro en Google Play y actualizará este artículo una vez que recibamos una respuesta.
Relacionado: 1,3 millones de cajas de TV Android infectadas con el malware Vo1d
Relacionado: Meta advierte sobre aplicaciones telefónicas que roban contraseñas
Relacionado: 21 aplicaciones maliciosas descargadas 8 millones de veces desde Google Play
Relacionado: El malware Clipper se cuela en Google Play
https://www.securityweek.com/necro-trojan-infects-google-play-apps-with-millions-of-downloads/
