Експерти з кібербезпеки виявили нову версію небезпечного трояна Necro у двох популярних додатках офіційного магазину Google Play. Загальна кількість завантажень інфікованих програм перевищила 11 мільйонів, що свідчить про масштабність загрози. Дослідники “Лабораторії Касперського” встановили, що зараження відбулося через сторонній рекламний SDK.
Особливості та функціонал нової версії Necro
Троян Necro є складним завантажувачем, здатним встановлювати та запускати різноманітні шкідливі компоненти на інфікованому пристрої. Новий варіант малвару, виявлений у серпні 2024 року, демонструє розширені можливості:
- Завантаження та виконання різних модулів
- Показ невидимої реклами та її автоматичне клікання
- Виконання довільного JavaScript та DEX коду
- Встановлення сторонніх додатків
- Відкриття прихованих посилань у WebView
- Потенційне оформлення платних підписок
Особливо небезпечною є здатність Necro перетворювати інфікований пристрій на частину прокси-ботнету, дозволяючи зловмисникам використовувати трафік жертви для своїх цілей.
Шляхи поширення та масштаби зараження
Дослідники виявили Necro в модифікованих версіях популярних додатків, таких як Spotify Plus та WhatsApp, а також у модах для ігор Minecraft, Stumble Guys та Car Parking Multiplayer. Проте найбільшу загрозу становило проникнення трояна до офіційного магазину Google Play через додатки Wuta Camera та Max Browser.
Географія атак
Найбільше від атак Necro постраждали користувачі з Росії, Бразилії, В’єтнаму, Еквадору та Мексики. Це вказує на глобальний характер загрози та необхідність підвищення пильності користувачів незалежно від їх географічного розташування.
Механізм зараження та маскування
Necro проник у Google Play через рекламний SDK Coral, який використовував обфускацію для приховування шкідливої активності. Додатково застосовувалася стеганографія для завантаження корисного навантаження другого етапу – shellPlugin, замаскованого під звичайні PNG-зображення.
Реакція Google та рекомендації користувачам
Після повідомлення дослідників, Google видалив шкідливий завантажувач з Wuta Camera у версії 6.3.7.138. Max Browser був повністю вилучений з магазину додатків. Користувачам Max Browser наполегливо рекомендується негайно видалити додаток зі своїх пристроїв, оскільки “чистої” версії не існує.
Цей інцидент підкреслює важливість постійної пильності навіть при використанні офіційних магазинів додатків. Користувачам рекомендується регулярно оновлювати програмне забезпечення, уважно перевіряти дозволи додатків та використовувати надійні рішення для захисту від шкідливого ПЗ на мобільних пристроях. Лише комплексний підхід до кібербезпеки може забезпечити надійний захист від сучасних загроз, таких як троян Necro.
