Necro troià

El 2019, els investigadors de ciberseguretat van descobrir un problema preocupant: una aplicació legítima d'Android a Google Play Store havia estat compromesa per una biblioteca de tercers utilitzada pels desenvolupadors per generar ingressos publicitaris. Aquesta modificació va provocar que 100 milions de dispositius es connectessin a servidors controlats pels atacants, que després desplegaven càrregues útils ocultes.

Una situació semblant ha ressorgit ara. Els experts d'Infosec han identificat dues aplicacions noves, descarregades 11 milions de vegades de Google Play, que estan infectades per la mateixa família de programari maliciós. Sembla que un kit de desenvolupament de programari insegur utilitzat per integrar funcions publicitàries torna a ser culpable.

Què és un SDK?

Els kits de desenvolupament de programari, o SDK, ofereixen als desenvolupadors marcs preconstruïts que simplifiquen i acceleren el procés de creació d'aplicacions mitjançant la gestió de tasques rutinàries. En aquest cas, es va integrar a les aplicacions un mòdul SDK no verificat, aparentment dissenyat per suportar la visualització d'anuncis. No obstant això, sota la superfície, va permetre mètodes avançats per comunicar-se de manera encoberta amb servidors compromesos. Això va permetre a les aplicacions carregar dades d'usuari i descarregar codi nociu, que es podia executar o actualitzar en qualsevol moment.

Com infecten els dispositius els troians Necro?

La família de programari maliciós que hi ha darrere d'ambdues campanyes s'anomena Necro i, en aquest cas, algunes variants utilitzen tècniques avançades com l'esteganografia, un mètode rar d'ofuscament en amenaces mòbils. Algunes variants també utilitzen mètodes sofisticats per oferir codi fraudulent capaç d'operar amb privilegis elevats del sistema. Un cop infectat un dispositiu, es comunica amb un servidor d'ordres i control controlat per l'atacant. Envia dades JSON xifrades que informen detalls sobre el dispositiu compromès i l'aplicació que allotja el mòdul fraudulent.

Aleshores, el servidor respon amb un missatge JSON que inclou un enllaç a una imatge PNG i metadades que contenen el hash de la imatge. Si el mòdul del dispositiu infectat verifica el hash, es procedeix a descarregar la imatge.

Els investigadors van explicar que el mòdul SDK utilitza un algorisme esteganogràfic senzill. En passar la comprovació MD5, extreu el contingut del fitxer PNG, concretament els valors de píxels dels canals ARGB, mitjançant eines estàndard d'Android. El mètode getPixel recupera un valor on el byte menys significatiu conté el canal blau de la imatge i el programari maliciós comença el seu processament a partir d'aquí.

El troià Necro podria tenir conseqüències greus

Les càrregues útils de seguiment instal·lades pel programari maliciós descarreguen connectors fraudulents que es poden personalitzar per a cada dispositiu infectat per dur a terme diverses accions. Un d'aquests connectors permet que el codi s'executi amb privilegis elevats del sistema. Normalment, Android restringeix els processos privilegiats per utilitzar WebView, un component per mostrar pàgines web dins de les aplicacions. Per superar aquesta restricció, Necro utilitza una tècnica coneguda com a atac de reflexió per crear una ocurrència independent de la fàbrica WebView.

A més, aquest connector pot descarregar i executar altres fitxers que modifiquen els enllaços que es mostren a través de WebView. Amb drets de sistema elevats, aquests executables poden alterar els URL per inserir codis de confirmació per a les subscripcions de pagament i descarregar i executar codi des d'enllaços controlats per l'atacant. Els investigadors van identificar cinc càrregues útils diferents durant la seva anàlisi de Necro. A més, l'estructura modular de Necro ofereix nombroses maneres d'operar el programari maliciós.

El troià Necro es va trobar en dues aplicacions

Els investigadors van identificar Necro en dues aplicacions a Google Play. Un d'ells, Wuta Camera, ha aconseguit 10 milions de descàrregues. Les versions 6.3.2.148 a 6.3.6.148 de Wuta Camera contenien l'SDK maliciós responsable de les infeccions, però des de llavors l'aplicació s'ha actualitzat per eliminar el component nociu. Una altra aplicació, Max Browser, amb aproximadament un milió de descàrregues, també es va veure compromesa; tanmateix, ja no està disponible a Google Play.

A més, els investigadors van descobrir que Necro infectava una sèrie d'aplicacions d'Android que s'ofereixen en mercats alternatius. Aquestes aplicacions es presenten normalment com a versions modificades d'aplicacions legítimes, com ara Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer i Melon Sandbox.