Versões alteradas de aplicativos Android legítimos associados ao Spotify, WhatsApp e Minecraft foram usadas para entregar uma nova versão de um carregador de malware conhecido chamado Necro.
A Kaspersky disse que alguns dos aplicativos maliciosos também foram encontrados na Google Play Retailer. Eles foram baixados cumulativamente 11 milhões de vezes. Eles incluem –
- Wuta Digital camera – Good Shot At all times (com.benqu.wuta) – Mais de 10 milhões de downloads
- Max Browser-Personal & Safety (com.max.browser) – 1+ milhões de downloads
No momento em que este artigo foi escrito, o Max Browser não está mais disponível para obtain na Play Retailer. O Wuta Digital camera, por outro lado, foi atualizado (versão 6.3.7.138) para remover o malware. A versão mais recente do aplicativo, 6.3.8.148, foi lançada em 8 de setembro de 2024.
Atualmente, não está claro como ambos os aplicativos foram comprometidos pelo malware em primeiro lugar, embora se acredite que um equipment de desenvolvedor de software program (SDK) desonesto para integrar recursos de publicidade seja o culpado.
O Necro (não confundir com uma botnet de mesmo nome) foi descoberto pela primeira vez pela empresa russa de segurança cibernética em 2019, quando estava escondido em um aplicativo widespread de digitalização de documentos chamado CamScanner.
Mais tarde, o CamScanner atribuiu o problema a um SDK de anúncio fornecido por um terceiro chamado AdHub, que, segundo ele, continha um módulo malicioso para recuperar malware de próximo estágio de um servidor remoto, agindo essencialmente como um carregador para todos os tipos de malware nos dispositivos das vítimas.
A nova versão do malware não é diferente, embora inclua técnicas de ofuscação para evitar a detecção, aproveitando principalmente a esteganografia para ocultar cargas úteis.
“Os payloads baixados, entre outras coisas, podem exibir anúncios em janelas invisíveis e interagir com eles, baixar e executar arquivos DEX arbitrários e instalar aplicativos baixados”, disse o pesquisador da Kaspersky, Dmitry Kalinin.
Ele também pode “abrir hyperlinks arbitrários em janelas invisíveis do WebView e executar qualquer código JavaScript nelas, criar um túnel pelo dispositivo da vítima e, potencialmente, assinar serviços pagos”.
Um dos principais veículos de entrega do Necro são versões modificadas de aplicativos e jogos populares que são hospedados em websites e lojas de aplicativos não oficiais. Uma vez baixados, os aplicativos inicializam um módulo chamado Coral SDK, que, por sua vez, envia uma solicitação HTTP POST para um servidor remoto.
O servidor responde posteriormente com um hyperlink para um suposto arquivo de imagem PNG hospedado em adoss.spinsok(.)com, após o qual o SDK prossegue para extrair a carga principal – um arquivo Java (JAR) codificado em Base64 – dele.
As funções maliciosas do Necro são realizadas por meio de um conjunto de módulos adicionais (também conhecidos como plug-ins) que são baixados do servidor de comando e controle (C2), permitindo que ele execute uma ampla gama de ações no dispositivo Android infectado –
- NProxy – Cria um túnel através do dispositivo da vítima
- ilha – Gera um número pseudoaleatório que é usado como um intervalo de tempo (em milissegundos) entre exibições de anúncios intrusivos
- internet – Periodicamente contate um servidor C2 e execute código arbitrário com permissões elevadas ao carregar hyperlinks específicos
- Dice SDK – Um módulo auxiliar que carrega outros plugins para lidar com anúncios em segundo plano
- Toque – Baixe o código JavaScript arbitrário e uma interface WebView do servidor C2 que são responsáveis por carregar e visualizar anúncios secretamente
- Pleased SDK/Jar SDK – Um módulo que combina NProxy e módulos internet com algumas pequenas diferenças
A descoberta do Pleased SDK levantou a possibilidade de que os agentes de ameaças por trás da campanha também estejam experimentando uma versão não modular.
“Isso sugere que o Necro é altamente adaptável e pode baixar diferentes iterações de si mesmo, talvez para introduzir novos recursos”, disse Kalinin.
Dados de telemetria coletados pela Kaspersky mostram que ela bloqueou mais de dez mil ataques Necro em todo o mundo entre 26 de agosto e 15 de setembro de 2024, com Rússia, Brasil, Vietnã, Equador, México, Taiwan, Espanha, Malásia, Itália e Turquia respondendo pelo maior número de ataques.
“Esta nova versão é um carregador de vários estágios que usa esteganografia para ocultar a carga útil do segundo estágio, uma técnica muito rara para malware móvel, bem como ofuscação para evitar a detecção”, disse Kalinin.
“A arquitetura modular oferece aos criadores do Trojan uma ampla gama de opções para entrega em massa e direcionada de atualizações do carregador ou novos módulos maliciosos, dependendo do aplicativo infectado.”