Necro Trojan
Em 2019, os pesquisadores de segurança cibernética descobriram um problema preocupante: um aplicativo Android legítimo na Google Play Store foi comprometido por uma biblioteca de terceiros usada por desenvolvedores para gerar receita de publicidade. Essa modificação resultou em 100 milhões de dispositivos se conectando a servidores controlados por invasores, que então implantaram payloads ocultos.
Uma situação semelhante ressurgiu agora. Especialistas em Infosec identificaram dois novos aplicativos, baixados 11 milhões de vezes do Google Play, que estão infectados pela mesma família de malware. Parece que um kit de desenvolvimento de software inseguro usado para integrar recursos de publicidade é mais uma vez o culpado.
Índice
O Que é um SDK?
Os kits de desenvolvimento de software, ou SDKs, oferecem aos desenvolvedores estruturas pré-construídas que simplificam e aceleram o processo de criação de aplicativos ao lidar com tarefas de rotina. Neste caso, um módulo SDK não verificado, aparentemente projetado para suportar exibição de anúncios, foi integrado aos aplicativos. No entanto, abaixo da superfície, ele habilitou métodos avançados para comunicação secreta com servidores comprometidos. Isso permitiu que os aplicativos carregassem dados do usuário e baixassem código prejudicial, que poderia ser executado ou atualizado a qualquer momento.
Como os Necro Trojans Infectam os Dispositivos?
A família de malware por trás de ambas as campanhas é chamada Necro e, neste caso, algumas variantes empregam técnicas avançadas como esteganografia — um método raro de ofuscação em ameaças móveis. Certas variantes também usam métodos sofisticados para entregar código fraudulento capaz de operar com privilégios elevados do sistema. Uma vez que um dispositivo é infectado, ele se comunica com um servidor de Comando e Controle controlado pelo invasor. Ele envia dados JSON criptografados que relatam detalhes sobre o dispositivo comprometido e o aplicativo que hospeda o módulo fraudulento.
O servidor então responde com uma mensagem JSON que inclui um link para uma imagem PNG e metadados contendo o hash da imagem. Se o módulo no dispositivo infectado verificar o hash, ele prossegue para baixar a imagem.
Os pesquisadores explicaram que o módulo SDK usa um algoritmo esteganográfico simples. Ao passar pela verificação MD5, ele extrai o conteúdo do arquivo PNG, especificamente os valores de pixel dos canais ARGB, usando ferramentas Android padrão. O método getPixel recupera um valor onde o byte menos significativo contém o canal azul da imagem, e o malware começa seu processamento a partir daí.
O Necro Trojan pode Levar a Consequências Graves
Cargas úteis subsequentes instaladas pelo malware baixam plugins fraudulentos que podem ser personalizados para cada dispositivo infectado para executar várias ações. Um desses plugins permite que o código seja executado com privilégios elevados do sistema. Normalmente, o Android restringe processos privilegiados de usar o WebView — um componente para exibir páginas da Web dentro de aplicativos. Para superar essa restrição, o Necro emprega uma técnica conhecida como ataque de reflexão para criar uma ocorrência separada da fábrica do WebView.
Além disso, este plugin pode baixar e executar outros arquivos que modificam links exibidos através do WebView. Com direitos de sistema elevados, esses executáveis podem alterar URLs para inserir códigos de confirmação para assinaturas pagas e baixar e executar código de links controlados pelo invasor. Os pesquisadores identificaram cinco payloads distintos durante sua análise do Necro. Além disso, a estrutura modular do Necro fornece inúmeras maneiras para o malware operar.
O Necro Trojan foi Encontrado em Dois Aplicativos
Pesquisadores identificaram o Necro em dois aplicativos no Google Play. Um deles, o Wuta Camera, obteve 10 milhões de downloads. As versões 6.3.2.148 a 6.3.6.148 do Wuta Camera continham o SDK malicioso responsável pelas infecções, mas o aplicativo foi atualizado para eliminar o componente prejudicial. Outro aplicativo, o Max Browser, com aproximadamente 1 milhão de downloads, também foi comprometido; no entanto, ele não está mais disponível no Google Play.
Além disso, os pesquisadores descobriram que o Necro infectava uma série de aplicativos Android oferecidos em marketplaces alternativos. Esses aplicativos são normalmente apresentados como versões modificadas de aplicativos legítimos, incluindo Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer e Melon Sandbox.
