Necro Trojan
Under 2019 upptäckte cybersäkerhetsforskare ett oroande problem: en legitim Android-applikation i Google Play Butik hade äventyrats av ett tredjepartsbibliotek som används av utvecklare för att generera reklamintäkter. Denna ändring resulterade i att 100 miljoner enheter blev anslutna till servrar som kontrolleras av angripare, som sedan distribuerade dolda nyttolaster.
En liknande situation har nu återuppstått. Infosec-experter har identifierat två nya applikationer, nedladdade 11 miljoner gånger från Google Play, som är infekterade av samma skadliga programfamilj. Det verkar som att ett osäkert mjukvaruutvecklingskit som används för att integrera reklamfunktioner återigen får skulden.
Innehållsförteckning
Vad är en SDK?
Mjukvaruutvecklingskit, eller SDK:er, erbjuder utvecklare förbyggda ramverk som förenklar och påskyndar processen för att skapa applikationer genom att hantera rutinuppgifter. I det här fallet integrerades en overifierad SDK-modul, som till synes utformad för att stödja annonsvisning, i applikationerna. Men under ytan möjliggjorde det avancerade metoder för hemlig kommunikation med komprometterade servrar. Detta gjorde det möjligt för applikationerna att ladda upp användardata och ladda ner skadlig kod, som kunde köras eller uppdateras när som helst.
Hur infekterar Necro-trojanerna enheter?
Skadlig programvara bakom båda kampanjerna kallas Necro, och i det här fallet använder vissa varianter avancerade tekniker som steganografi - en sällsynt fördunklingsmetod i mobilhot. Vissa varianter använder också sofistikerade metoder för att leverera bedräglig kod som kan fungera med förhöjda systembehörigheter. När en enhet väl är infekterad kommunicerar den med en angriparkontrollerad Command-and-Control-server. Den skickar krypterad JSON-data som rapporterar detaljer om den komprometterade enheten och applikationen som är värd för den bedrägliga modulen.
Servern svarar sedan med ett JSON-meddelande som innehåller en länk till en PNG-bild och metadata som innehåller bildens hash. Om modulen på den infekterade enheten verifierar hashen fortsätter den att ladda ner bilden.
Forskare förklarade att SDK-modulen använder en enkel steganografisk algoritm. Efter att ha klarat MD5-kontrollen extraherar den innehållet i PNG-filen, särskilt pixelvärdena från ARGB-kanalerna, med hjälp av vanliga Android-verktyg. GetPixel-metoden hämtar ett värde där den minst signifikanta byten innehåller bildens blå kanal och skadlig programvara börjar sin bearbetning därifrån.
Necro-trojanen kan leda till allvarliga konsekvenser
Uppföljande nyttolaster installerade av skadlig programvara laddar ned bedrägliga plugins som kan anpassas för varje infekterad enhet för att utföra olika åtgärder. En sådan plugin tillåter att kod körs med förhöjda systembehörigheter. Normalt sett begränsar Android privilegierade processer från att använda WebView – en komponent för att visa webbsidor i applikationer. För att övervinna denna begränsning använder Necro en teknik som kallas en reflektionsattack för att skapa en separat förekomst av WebView-fabriken.
Dessutom kan detta plugin ladda ner och köra andra filer som ändrar länkar som visas via WebView. Med förhöjda systemrättigheter kan dessa körbara filer ändra URL:er för att infoga bekräftelsekoder för betalda prenumerationer och ladda ner och köra kod från angriparkontrollerade länkar. Forskare identifierade fem distinkta nyttolaster under sin analys av Necro. Dessutom ger Necros modulära struktur många sätt för skadlig programvara att fungera.
Necro-trojanen hittades i två applikationer
Forskare identifierade Necro i två applikationer på Google Play. En av dem, Wuta Camera, har fått 10 miljoner nedladdningar. Versioner 6.3.2.148 till 6.3.6.148 av Wuta Camera innehöll den skadliga SDK som är ansvarig för infektionerna, men applikationen har sedan dess uppdaterats för att eliminera den skadliga komponenten. En annan applikation, Max Browser, med cirka 1 miljon nedladdningar, kompromitterades också; men det är inte längre tillgängligt på Google Play.
Dessutom upptäckte forskarna att Necro infekterade en rad Android-applikationer som erbjuds på alternativa marknadsplatser. Dessa applikationer presenteras vanligtvis som modifierade versioner av legitima applikationer, inklusive Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer och Melon Sandbox.
