Według badaczy bezpieczeństwa niektóre aplikacje Google Play i nieoficjalne modyfikacje popularnych aplikacji są celem atakujących w celu rozprzestrzeniania niebezpiecznego złośliwego oprogramowania. Rzekomy trojan Necro potrafi rejestrować naciśnięcia klawiszy, kraść poufne informacje, instalować dodatkowe złośliwe oprogramowanie i zdalnie wykonywać polecenia. Wykryto dwie aplikacje w sklepie z aplikacjami Google Play zawierające to złośliwe oprogramowanie. Co więcej, wykryto również, że dystrybuujące trojana były zmodyfikowane (zmodyfikowane) pakiety aplikacji na Androida (APK) obejmujące aplikacje takie jak Spotify, WhatsApp i gry takie jak Minecraft.
Aplikacje Google Play, zmodyfikowane pliki APK używane do rozprzestrzeniania trojana Necro
Po raz pierwszy trojan z rodziny Necro został wykryty w 2019 roku, kiedy złośliwe oprogramowanie zainfekowało popularną aplikację do tworzenia plików PDF CamScanner. Oficjalna wersja aplikacji w Google Play, z ponad 100 milionami pobrań, stwarzała ryzyko dla użytkowników, ale poprawka bezpieczeństwa rozwiązała wówczas problem.
Według A post przez badaczy z Kaspersky nowa wersja trojana Necro została wykryta w dwóch aplikacjach Google Play. Pierwsza to aplikacja Wuta Camera, którą pobrano ponad 10 milionów razy, a druga to Max Browser z ponad milionem pobrań. Badacze potwierdzili, że Google usunął zainfekowane aplikacje po tym, jak Kaspersky skontaktował się z firmą.
Główny problem wynika z dużej liczby nieoficjalnych „zmodyfikowanych” wersji popularnych aplikacji, które można znaleźć w wielu witrynach internetowych osób trzecich. Użytkownicy mogą omyłkowo pobrać i zainstalować je na swoich urządzeniach z Androidem, infekując je przy tym. Niektóre pliki APK zawierające złośliwe oprogramowanie wykryte przez badaczy obejmują zmodyfikowane wersje Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer i Melon Sandbox — te zmodyfikowane wersje zapewniają użytkownikom dostęp do funkcji, które zazwyczaj wymagają płatnej subskrypcji.
Co ciekawe, wygląda na to, że napastnicy używają szeregu metod atakowania użytkowników. Na przykład mod Spotify zawierał pakiet SDK, który według badaczy wyświetlał wiele modułów reklamowych. Serwer dowodzenia i kontroli (C&C) był używany do wdrażania ładunku trojana, jeśli użytkownik przypadkowo dotknął modułu opartego na obrazie.
Podobnie w przypadku moda WhatsApp odkryto, że napastnicy nadpisali usługę chmurową Firebase Remote Config firmy Google, aby używać jej jako serwera kontroli. Ostatecznie interakcja z modułem spowoduje wdrożenie i wykonanie tego samego ładunku.
Po wdrożeniu szkodliwe oprogramowanie może „pobierać pliki wykonywalne, instalować aplikacje innych firm i otwierać dowolne łącza w niewidocznych oknach WebView w celu wykonania kodu JavaScript” – podkreślono w poście Kaspersky. Co więcej, może także subskrybować drogie, płatne usługi bez wiedzy użytkownika.
Chociaż aplikacje w Google Play zostały już usunięte, zaleca się użytkownikom ostrożność podczas pobierania aplikacji na Androida ze źródeł zewnętrznych. Jeśli nie ufają rynkowi, powinni powstrzymać się od pobierania lub instalowania jakichkolwiek aplikacji lub plików.
