Troiano Necro
Nel 2019, i ricercatori di sicurezza informatica hanno scoperto un problema preoccupante: un'applicazione Android legittima sul Google Play Store era stata compromessa da una libreria di terze parti utilizzata dagli sviluppatori per generare entrate pubblicitarie. Questa modifica ha portato alla connessione di 100 milioni di dispositivi a server controllati da aggressori, che hanno poi distribuito payload nascosti.
Una situazione simile è riemersa ora. Gli esperti di Infosec hanno identificato due nuove applicazioni, scaricate 11 milioni di volte da Google Play, che sono infette dalla stessa famiglia di malware. Sembra che la colpa sia ancora una volta di un kit di sviluppo software non sicuro utilizzato per integrare funzionalità pubblicitarie.
Sommario
Cos'è un SDK?
I kit di sviluppo software, o SDK, offrono agli sviluppatori framework predefiniti che semplificano e accelerano il processo di creazione delle applicazioni gestendo attività di routine. In questo caso, un modulo SDK non verificato, apparentemente progettato per supportare la visualizzazione di annunci, è stato integrato nelle applicazioni. Tuttavia, sotto la superficie, ha abilitato metodi avanzati per comunicare segretamente con server compromessi. Ciò ha consentito alle applicazioni di caricare dati utente e scaricare codice dannoso, che potrebbe essere eseguito o aggiornato in qualsiasi momento.
Come i Necro Trojan infettano i dispositivi?
La famiglia di malware dietro entrambe le campagne si chiama Necro e, in questo caso, alcune varianti impiegano tecniche avanzate come la steganografia, un raro metodo di offuscamento nelle minacce mobili. Alcune varianti utilizzano anche metodi sofisticati per fornire codice fraudolento in grado di operare con privilegi di sistema elevati. Una volta che un dispositivo è infetto, comunica con un server Command-and-Control controllato dall'aggressore. Invia dati JSON crittografati che segnalano dettagli sul dispositivo compromesso e sull'applicazione che ospita il modulo fraudolento.
Il server risponde quindi con un messaggio JSON che include un collegamento a un'immagine PNG e metadati contenenti l'hash dell'immagine. Se il modulo sul dispositivo infetto verifica l'hash, procede a scaricare l'immagine.
I ricercatori hanno spiegato che il modulo SDK utilizza un semplice algoritmo steganografico. Dopo aver superato il controllo MD5, estrae il contenuto del file PNG, in particolare i valori dei pixel dai canali ARGB, utilizzando strumenti Android standard. Il metodo getPixel recupera un valore in cui il byte meno significativo contiene il canale blu dell'immagine e il malware inizia la sua elaborazione da lì.
Il Necro Trojan potrebbe portare a gravi conseguenze
I payload successivi installati dal malware scaricano plugin fraudolenti che possono essere personalizzati per ogni dispositivo infetto per eseguire varie azioni. Uno di questi plugin consente l'esecuzione del codice con privilegi di sistema elevati. Normalmente, Android impedisce ai processi privilegiati di utilizzare WebView, un componente per visualizzare pagine Web all'interno delle applicazioni. Per superare questa limitazione, Necro impiega una tecnica nota come attacco di riflessione per creare un'occorrenza separata della factory WebView.
Inoltre, questo plugin può scaricare ed eseguire altri file che modificano i link visualizzati tramite WebView. Con diritti di sistema elevati, questi eseguibili possono modificare gli URL per inserire codici di conferma per abbonamenti a pagamento e scaricare ed eseguire codice da link controllati dall'aggressore. I ricercatori hanno identificato cinque payload distinti durante la loro analisi di Necro. Inoltre, la struttura modulare di Necro fornisce numerosi modi per il malware di operare.
Il Trojan Necro è stato trovato in due applicazioni
I ricercatori hanno identificato Necro in due applicazioni su Google Play. Una di queste, Wuta Camera, ha totalizzato 10 milioni di download. Le versioni 6.3.2.148 fino a 6.3.6.148 di Wuta Camera contenevano l'SDK dannoso responsabile delle infezioni, ma l'applicazione è stata poi aggiornata per eliminare il componente dannoso. Un'altra applicazione, Max Browser, con circa 1 milione di download, è stata anch'essa compromessa; tuttavia, non è più disponibile su Google Play.
Inoltre, i ricercatori hanno scoperto che Necro infetta una gamma di applicazioni Android offerte in marketplace alternativi. Queste applicazioni sono solitamente presentate come versioni modificate di applicazioni legittime, tra cui Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer e Melon Sandbox.
