Necro troian
În 2019, cercetătorii în domeniul securității cibernetice au descoperit o problemă îngrijorătoare: o aplicație Android legitimă de pe Google Play Store a fost compromisă de o bibliotecă terță parte folosită de dezvoltatori pentru a genera venituri din publicitate. Această modificare a dus la conectarea a 100 de milioane de dispozitive la servere controlate de atacatori, care apoi au implementat încărcături utile ascunse.
O situație similară a reapărut acum. Experții Infosec au identificat două aplicații noi, descărcate de 11 milioane de ori de pe Google Play, care sunt infectate de aceeași familie de malware. Se pare că un kit de dezvoltare software nesigur folosit pentru a integra funcții de publicitate este din nou de vină.
Cuprins
Ce este un SDK?
Kiturile de dezvoltare software sau SDK-uri oferă dezvoltatorilor cadre pre-construite care simplifică și accelerează procesul de creare a aplicațiilor prin gestionarea sarcinilor de rutină. În acest caz, în aplicații a fost integrat un modul SDK neverificat, aparent conceput pentru a sprijini afișarea reclamelor. Cu toate acestea, sub suprafață, a activat metode avansate pentru comunicarea secretă cu serverele compromise. Acest lucru a permis aplicațiilor să încarce datele utilizatorului și să descarce cod dăunător, care putea fi executat sau actualizat în orice moment.
Cum infectează troienii Necro dispozitivele?
Familia de malware din spatele ambelor campanii se numește Necro și, în acest caz, unele variante folosesc tehnici avansate, cum ar fi steganografia, o metodă rară de ofuscare în amenințările mobile. Anumite variante folosesc, de asemenea, metode sofisticate pentru a furniza cod fraudulent capabil să funcționeze cu privilegii de sistem ridicate. Odată ce un dispozitiv este infectat, acesta comunică cu un server de comandă și control controlat de atacator. Trimite date JSON criptate care raportează detalii despre dispozitivul compromis și aplicația care găzduiește modulul fraudulos.
Serverul răspunde apoi cu un mesaj JSON care include un link către o imagine PNG și metadate care conțin hash-ul imaginii. Dacă modulul de pe dispozitivul infectat verifică hash-ul, acesta continuă să descarce imaginea.
Cercetătorii au explicat că modulul SDK utilizează un algoritm steganografic simplu. După trecerea verificării MD5, extrage conținutul fișierului PNG, în special valorile pixelilor din canalele ARGB, folosind instrumente Android standard. Metoda getPixel preia o valoare în care octetul cel mai puțin semnificativ conține canalul albastru al imaginii, iar malware-ul își începe procesarea de acolo.
Troianul Necro ar putea duce la consecințe grave
Încărcăturile utile ulterioare instalate de malware-ul descarcă pluginuri frauduloase care pot fi personalizate pentru fiecare dispozitiv infectat pentru a efectua diverse acțiuni. Un astfel de plugin permite executarea codului cu privilegii de sistem ridicate. În mod normal, Android restricționează procesele privilegiate de la utilizarea WebView—o componentă pentru afișarea paginilor Web în cadrul aplicațiilor. Pentru a depăși această restricție, Necro folosește o tehnică cunoscută sub numele de atac de reflexie pentru a crea o apariție separată a fabricii WebView.
În plus, acest plugin poate descărca și executa alte fișiere care modifică legăturile afișate prin WebView. Cu drepturi de sistem ridicate, aceste executabile pot modifica adresele URL pentru a insera coduri de confirmare pentru abonamentele plătite și pot descărca și rula cod de pe link-urile controlate de atacator. Cercetătorii au identificat cinci sarcini utile distincte în timpul analizei Necro. În plus, structura modulară a Necro oferă numeroase moduri de funcționare a malware-ului.
Troianul Necro a fost găsit în două aplicații
Cercetătorii au identificat Necro în două aplicații de pe Google Play. Unul dintre ele, Wuta Camera, a strâns 10 milioane de descărcări. Versiunile 6.3.2.148 până la 6.3.6.148 ale Wuta Camera conțineau SDK-ul rău intenționat responsabil pentru infecții, dar aplicația a fost actualizată de atunci pentru a elimina componenta dăunătoare. O altă aplicație, Max Browser, cu aproximativ 1 milion de descărcări, a fost și ea compromisă; cu toate acestea, nu mai este disponibil pe Google Play.
În plus, cercetătorii au descoperit că Necro infectează o serie de aplicații Android oferite pe piețele alternative. Aceste aplicații sunt de obicei prezentate ca versiuni modificate ale aplicațiilor legitime, inclusiv Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer și Melon Sandbox.
