Niektóre aplikacje Google Play i nieoficjalne modyfikacje popularnych aplikacji są celem atakujących, którzy rozprzestrzeniają niebezpieczne złośliwe oprogramowanie, według badaczy bezpieczeństwa. Rzekomy trojan Necro jest w stanie rejestrować naciśnięcia klawiszy, kraść poufne informacje, instalować dodatkowe złośliwe oprogramowanie i zdalnie wykonywać polecenia. Dwie aplikacje w sklepie z aplikacjami Google Play zostały zauważone z tym złośliwym oprogramowaniem. Ponadto wykryto również zmodyfikowane pakiety aplikacji Android (APK) aplikacji takich jak Spotify, WhatsApp i gier takich jak Minecraft, które dystrybuowały trojana.
Aplikacje Google Play i zmodyfikowane pliki APK używane do rozprzestrzeniania trojana Necro
Pierwszy raz trojana z rodziny Necro zauważono w 2019 r., kiedy malware zainfekowało popularną aplikację do tworzenia plików PDF CamScanner. Oficjalna wersja aplikacji w Google Play, pobrana ponad 100 milionów razy, stanowiła zagrożenie dla użytkowników, ale poprawka bezpieczeństwa rozwiązała ten problem.
Zgodnie z post badacze Kaspersky, nową wersję trojana Necro zauważono w dwóch aplikacjach Google Play. Pierwsza to aplikacja Wuta Camera, która została pobrana ponad 10 milionów razy, a druga to Max Browser, która została pobrana ponad milion razy. Badacze potwierdzili, że Google usunął zainfekowane aplikacje po tym, jak Kaspersky skontaktował się z firmą.
Główny problem wynika z dużej liczby nieoficjalnych „zmodyfikowanych” wersji popularnych aplikacji, które są hostowane na wielu stronach internetowych osób trzecich. Użytkownicy mogą omyłkowo pobrać i zainstalować je na swoich urządzeniach z Androidem, infekując je w trakcie tego procesu. Niektóre z plików APK ze złośliwym oprogramowaniem wykrytych przez badaczy obejmują zmodyfikowane wersje Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer i Melon Sandbox — te zmodyfikowane wersje obiecują użytkownikom dostęp do funkcji, które zazwyczaj wymagają płatnej subskrypcji.
Co ciekawe, wygląda na to, że atakujący używają szeregu metod, aby atakować użytkowników. Na przykład mod Spotify zawierał SDK, który wyświetlał wiele modułów reklamowych, zgodnie z informacjami badaczy. Serwer poleceń i kontroli (C&C) był używany do wdrażania ładunku trojana, jeśli użytkownik przypadkowo dotknął modułu opartego na obrazach.
Podobnie w modzie WhatsApp odkryto, że atakujący nadpisali usługę chmurową Firebase Remote Config firmy Google, aby używać jej jako serwera C&C. Ostatecznie interakcja z modułem spowoduje wdrożenie i wykonanie tego samego ładunku.
Po wdrożeniu złośliwe oprogramowanie mogło „pobierać pliki wykonywalne, instalować aplikacje innych firm i otwierać dowolne linki w niewidocznych oknach WebView, aby wykonać kod JavaScript”, podkreślono w poście Kaspersky. Ponadto mogło również subskrybować drogie płatne usługi bez wiedzy użytkownika.
Chociaż aplikacje w Google Play zostały już usunięte, użytkownicy są proszeni o zachowanie ostrożności podczas pobierania aplikacji na Androida ze źródeł zewnętrznych. Jeśli nie ufają marketplace, powinni powstrzymać się od pobierania lub instalowania jakichkolwiek aplikacji lub plików.
