Новости:

You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Красный День Календаря

Главное меню
avatar_𝕓𝕣𝕠𝕕𝕪𝕒𝕘𝕒

Троян Necro заразил более 11 млн Android-устройств через магазин Google Play

Автор 𝕓𝕣𝕠𝕕𝕪𝕒𝕘𝕒, 24-09-2024, 18:31

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

𝕓𝕣𝕠𝕕𝕪𝕒𝕘𝕒Topic starter

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Троян Necro был обнаружен в двух приложениях в официальном магазине Google Play. Общее количество загрузок этих приложений превышает 11 млн. Исследователи «Лаборатории Касперского» пишут, что заражение исходило от стороннего рекламного SDK.

Эксперты рассказывают, что обнаружили новую версию Necro в конце августа 2024 года, когда вредонос уже проник в два популярных приложения в Google Play, а также распространялся через другие источники. В итоге больше всего от атак малвари пострадали пользователи из России, Бразилии, Вьетнама, Эквадора и Мексики.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Necro представляет собой загрузчик, который скачивает и запускает на зараженном устройстве другие вредоносные компоненты в зависимости от команд, которые он получает от своих операторов.

Изученный вариант Necro способен загружать на зараженный смартфон разные модули. Так, есть плагины, которые показывают на устройстве рекламу в невидимых окнах и прокликивают ее. Другие модули используются для загрузки и выполнения произвольных файлы JavaScript и DEX (Happy SDK, Jar SDK), устанавливают на смартфон сторонние приложения, открывают в невидимых окнах произвольные ссылки в WebView и выполняют там произвольный JavaScript-код и, исходя из технических характеристик устройства, вероятно, могут оформлять платные подписки.

Кроме того, плагины позволяют злоумышленникам передавать трафик через устройство жертвы. Это позволяет хакерам посещать нужные им ресурсы якобы от лица пострадавшего, а также сделать зараженный гаджет частью прокси-ботнета.

Отмечается, что авторы Necro могут регулярно выпускать новые плагины и распространять их среди зараженных устройств, в том числе выборочно (например, в зависимости от информации о зараженном приложении).

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Первым приложением, где был выявлен новый Necro (вне Google Play), оказалась модифицированная версия Spotify Plus. Создатели этого приложения утверждали, что программа содержит множество дополнительных функций, которых нет в официальной версии.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Затем исследователи обнаружили Necro в измененной версии WhatsApp, а также в модах для различных игр, включая Minecraft, Stumble Guys, Car Parking Multiplayer.

Что касается Google Play, малварь проникла в официальный магазин в составе приложений Wuta Camera и Max Browser. Согласно статистике Google Play, общее количество скачиваний этих приложений превышает 11 млн.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Исследователи уведомили о малвари представителей Google Play, после чего вредоносный загрузчик был удален из Wuta Camera в версии 6.3.7.138, а Max Browser попросту удалили из магазина приложений. Так как последняя версия Max Browser (1.2.0) по-прежнему содержит Necro, «чистой» версии этого приложения не существует, и пользователям браузера рекомендуется немедленно удалить его со своих устройств.

Как объясняют специалисты, Necro проник в Google Play и упомянутые выше приложения в составе рекламного SDK Coral, который использовал обфускацию для сокрытия своих вредоносныой активности, а также стеганографию для скачивания полезной нагрузки второго этапа — shellPlugin, которая маскировалась под безобидные изображения в формате PNG.

Напомним, что ранее Necro был замечен в Google Play в 2019 году, в рамках еще более масштабной вредоносной кампании. Тогда зараженное малварью приложение CamScanner успели загрузить более 100 млн раз.

You are not allowed to view links. Register or Login

🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.