Una nova versió del carregador de programari maliciós Necro per a Android es va instal·lar a 11 milions de dispositius a través de Google Play en atacs maliciosos a la cadena de subministrament de l’SDK.

Aquesta nova versió del troià Necro es va instal·lar mitjançant kits de desenvolupament de programari publicitari maliciós (SDK) utilitzats per aplicacions legítimes, modificacions de jocs d’Android i versions modificades de programari popular, com ara Spotify, WhatsApp i Minecraft.

Necro instal·la diverses càrregues útils als dispositius infectats i activa diversos connectors maliciosos, com ara:

• Anunci que carrega enllaços a través de finestres invisibles de WebView (connector Island, Cube SDK)
• Mòduls que baixen i executen fitxers JavaScript i DEX arbitraris (Happy SDK, Jar SDK)
• Eines dissenyades específicament per facilitar el frau de subscripcions (connector web, Happy SDK, connector Tap)
• Mecanismes que utilitzen dispositius infectats com a servidors intermediaris per encaminar trànsit maliciós (connector NProxy)

El troià Necro a Google Play

Kaspersky ha descobert la presència del carregador Necro en dues aplicacions de Google Play, ambdues amb una base d’usuaris substancial.

El primer és Wuta Camera de ‘Benqu’, una eina d’edició i embelliment de fotografies amb més de 10.000.000 de descàrregues a Google Play.

Els analistes d’amenaces informen que Necro va aparèixer a l’aplicació amb el llançament de la versió 6.3.2.148 i va romandre incrustat fins a la versió 6.3.6.148, que és quan Kaspersky ho va notificar a Google.

Tot i que el troià es va eliminar a la versió 6.3.7.138, qualsevol càrrega útil que s’hagués instal·lat a través de les versions anteriors podria estar a l’aguait als dispositius Android.

La segona aplicació legítima que portava Necro és Max Browser de “WA message recover-wamr”, que va tenir 1 milió de descàrregues a Google Play fins que es va eliminar, després de l’informe de Kaspersky.

Kaspersky afirma que l’última versió de Max Browser, 1.2.0, encara porta Necro, de manera que no hi ha cap versió neta disponible per actualitzar-la, i es recomana als usuaris del navegador web que el desinstal·lin immediatament i que canviïn a un altre navegador.

Kaspersky diu que les dues aplicacions van ser infectades per un SDK publicitari anomenat “Coral SDK”, que va utilitzar l’ofuscament per ocultar les seves activitats malicioses i també l’esteganografia d’imatges per descarregar la càrrega útil de la segona etapa, shellPlugin, disfressada d’imatges PNG inofensives.

Google va dir a BleepingComputer que eren conscients de les aplicacions denunciades i les estaven investigant.

Fora de les fonts oficials

Fora de Play Store, el troià Necro es distribueix principalment a través de versions modificades d’aplicacions populars (mods) que es van distribuir a través de llocs web no oficials.

Els exemples notables detectats per Kaspersky inclouen els mods de WhatsApp “GBWhatsApp” i “FMWhatsApp”, que prometen millors controls de privadesa i límits ampliats per compartir fitxers. Un altre és el mod Spotify, ‘Spotify Plus’, que promet accés gratuït a serveis prèmium sense anuncis.

L’informe també esmenta mods a Minecraft i a altres jocs populars com Stumble Guys, Car Parking Multiplayer i Melon Sandbox, que es van infectar amb el carregador Necro.

En tots els casos, el comportament maliciós va ser el mateix: mostrar anuncis en segon pla per generar ingressos fraudulents per als atacants, instal·lar aplicacions i APK sense el consentiment de l’usuari i utilitzar WebViews invisibles per interactuar amb serveis de pagament.

Com que els llocs web no oficials de programari d’Android no informen de manera fiable els números de descàrrega, es desconeix el nombre total d’infeccions d’aquesta darrera onada de troians Necro, però és d’almenys 11 milions a Google Play.

Google ha enviat a BleepingComputer el següent comentari:

“Totes les versions malicioses de les aplicacions identificades en aquest informe es van eliminar de Google Play abans de la publicació de l’informe. Google Play Protect protegeix automàticament els usuaris d’Android contra les versions conegudes d’aquest programari maliciós, que està activat de manera predeterminada als dispositius Android amb Google Play. Els serveis de Google Play Protect poden advertir els usuaris o bloquejar aplicacions que se sap que mostren un comportament maliciós, fins i tot quan aquestes aplicacions provenen de fonts fora de Play”. – Un portaveu de Google