Versões modificadas de aplicativos Android oficiais associados ao Spotify, WhatsApp e Minecraft foram usadas para entregar uma nova versão de um conhecido downloader de malware chamado Necro.
A Kaspersky disse que alguns dos aplicativos maliciosos também foram encontrados na Google Play Store. Eles foram baixados um total de 11 milhões de vezes. Eles incluem –
- Câmera Wuta – Bela foto sempre (com.benqu.wuta) – mais de 10 milhões de downloads
- Max Browser-Private & Security (com.max.browser) – mais de 1 milhão de downloads
No momento em que este artigo foi escrito, o Max Browser não está mais disponível para download na Google Play Store. A Wuta Camera, por outro lado, foi atualizada (versão 6.3.7.138) para remover o malware. A versão mais recente do aplicativo, 6.3.8.148, foi lançada em 8 de setembro de 2024.
Ainda não está claro como ambos os aplicativos foram comprometidos pelo malware, embora se acredite que o kit de desenvolvedor de software (SDK) para integração do adware seja a causa do problema.
O Necro (não deve ser confundido com o botnet de mesmo nome) foi descoberto pela primeira vez por uma empresa russa de segurança cibernética em 2019, quando estava escondido dentro de um popular aplicativo de digitalização de documentos chamado CamScanner.
Posteriormente, o CamScanner atribuiu o problema a um SDK de anúncio fornecido por um terceiro chamado AdHub, que dizia conter um módulo malicioso para detectar o seguinte malware em um servidor remoto, que atua como um downloader para todos os tipos de malware nos dispositivos alvo.
A nova versão do malware não é diferente, embora inclua técnicas de ofuscação para evitar a detecção, especialmente a esteganografia, que facilita a ocultação de cargas úteis.
“Cargas baixadas, entre outras coisas, podem exibir anúncios em janelas invisíveis e interagir com eles, baixar e usar arquivos DEX indevidamente, instalar programas baixados”, disse o pesquisador da Kaspersky, Dmitry Kalinin.
Ele também pode “abrir links inadequados em janelas invisíveis do WebView e executar qualquer código JavaScript nelas, criar um túnel através do dispositivo da vítima e ser capaz de assinar serviços pagos”.
Um dos veículos de entrega proeminentes do Necro são versões modificadas de aplicativos e jogos populares hospedados em sites e lojas de aplicativos ilegais. Depois de baixados, os aplicativos executam um módulo chamado Coral SDK, que, por sua vez, envia uma solicitação HTTP POST ao servidor remoto.
O servidor então responde com um link para o arquivo de imagem PNG hospedado em adoss.spinsok[.]com, após o qual o SDK extrai a carga principal – um arquivo Java (JAR) codificado em Base64 – dele.
As operações maliciosas do Necro são executadas por meio de um conjunto de módulos adicionais (também conhecidos como plug-ins) baixados do servidor de comando e controle (C2), que permitem executar uma ampla variedade de ações em um dispositivo Android infectado –
- NProxy – Crie um túnel através do dispositivo da vítima
- ilha – Gera um número pseudo-aleatório que é usado como intervalo de tempo (em milissegundos) entre a exibição de anúncios intrusivos
- web – ocasionalmente entre em contato com o servidor C2 e execute código arbitrário com permissões elevadas ao carregar determinados links
- Cube SDK – um módulo auxiliar que carrega outros plug-ins para lidar com anúncios em segundo plano
- Tap – Baixe o código JavaScript arbitrário e a interface WebView do servidor C2 responsável por carregar e visualizar anúncios incógnitos.
- Fun SDK/Jar SDK – Um módulo que combina NProxy e módulos web com algumas pequenas diferenças
A descoberta do Happy SDK levantou a possibilidade de que os temíveis atores por trás da campanha também estejam experimentando uma versão sem módulo.
“Isso sugere que o Necro é muito flexível e pode baixar diferentes iterações de si mesmo, talvez introduzindo novos recursos”, disse Kalinin.
Os dados de telemetria recolhidos pela Kaspersky mostram que bloqueou mais de dez mil ataques Necro em todo o mundo entre 26 de agosto e 15 de setembro de 2024, com Rússia, Brasil, Vietname, Equador, México, Taiwan, Espanha, Malásia, Itália e Turquia contando a maioria. de ataques.
“Esta nova versão é um carregador de vários estágios que usa esteganografia para ocultar a carga útil do segundo estágio, uma forma muito rara de malware móvel, e ofuscação para evitar a detecção”, disse Kalinin.
“A estrutura modular oferece aos criadores de Trojan uma variedade de opções para entrega em massa e direcionada de carregadores ou novos módulos maliciosos, dependendo do sistema infectado.”
