Троян Necro снова нацелился на пользователей Android: предположительно зараженные приложения получили до одиннадцати миллионов человек.
Первоначально “Касперский” обнаружил распространение Necro в 2019 году, тогда около 100 миллионов устройств подверглись воздействию дроппера Necro, основной задачей которого является установка других типов вредоносного ПО на зараженные устройства.
Эта история похожа на многие из тех, что связаны с вредоносным ПО для Android — популярные приложения либо подделываются, либо рекламируются так называемые моды, которые в итоге приводят к заражению вредоносным ПО. Чаще всего они устанавливаются на устройства с Android, но некоторые из них также создаются для Play Store.
Одним из таких примеров является Wuta Camera, приложение для ретуширования селфи, разработанное Shanghai Benqumark Network Technology. Судя по странице в Google Play, которая все еще работает и поддерживает загрузки, приложение было загружено более 10 миллионов раз. В описании Play Store разработчик утверждает, что на самом деле оно было загружено около 200 миллионов раз.
Еще одно приложение — Max Browser, которое рекламировалось как браузер для Android, ориентированный на конфиденциальность, и имело более 1 миллиона загрузок, согласно показателям Play Store.
Google устранил проблемы и в Wuta Camera, и в Max Browser, заставив первое приложение удалить код Necro в обновлении, а второе было полностью удалено из Play Store.
Разработчик «Касперского» Дмитрий Калинин, проводивший исследование, говорит, что поддельные приложения и якобы легитимные модификации для настоящих продуктов являются реальной проблемой.
Модификации для таких популярных приложений, как Spotify, встречаются довольно часто. Некоторые из них полезны, а некоторые — нет. Одна из модификаций, на которую обратил внимание Калинин, предлагала премиум-функции бесплатно, что, по идее, должно было вызвать тревогу, но, увы, похоже, здесь все еще можно добиться успеха.
WhatsApp — еще одна распространенная цель для вредоносных модов, что неудивительно, учитывая глобальную популярность этого приложения для обмена сообщениями. Оно фигурировало в предыдущих исследованиях «Касперского», в которых были обнаружены моды, начиненные шпионским ПО и другими троянами.
Вредоносные моддеры также нацелены на приложения, которыми часто пользуются дети, например популярные игры Minecraft и Stumble Guys. Такие пользователи, скорее всего, не знают об угрозах, которые могут представлять непроверенные моды, но при этом обладают техническими знаниями для их загрузки и установки.
Это не идеальное сочетание с точки зрения безопасности. Не помогает и то, что существуют легальные, безопасные и полезные моды для приложений, что усложняет задачу определения того, какие из них заслуживают доверия, а какие нет.
Анализ трояна, проведенный «Касперским», выявил идентичную структуру, соответствующую предыдущим версиям трояна и семейству вредоносных программ Necro. Это не самое опасное вредоносное ПО в мире — исследователи не упоминали об утечке данных, таких как личные сообщения или фотографии.
Его основная полезная нагрузка, загружаемая на устройства жертв, также практически не изменилась: в основном она направлена на доставку навязчивой рекламы и кражу денег путем списания со счетов поддельных подписок.
Тем не менее, Necro не остался без изменений. Последняя версия многоступенчатого трояна демонстрирует, по словам Калинина, «очень редкую для мобильных вредоносных программ технику» — использование стеганографии для сокрытия полезной нагрузки в коде PNG-изображения.
Полный список индикаторов компрометации (IOC) приведен в блоге Касперского, а чтобы избежать заражения такого рода, нужно просто не скачивать ничего из сомнительных источников. Является ли Google Play доверенным источником, правда, пока непонятно.