Una nueva variante del malware Necro ha infectado a 11 millones de dispositivos Android a través de Google Play, en el marco de ataques dirigidos a la cadena de suministro. Esta versión del troyano se distribuyó mediante SDKs de publicidad maliciosa, integrados en aplicaciones legítimas, modificaciones de juegos y versiones alteradas de software popular como Spotify, WhatsApp y Minecraft.

El malware introduce múltiples cargas maliciosas en los dispositivos comprometidos, activando varios módulos, tales como:

  • Mecanismos para usar los dispositivos como proxy para tráfico malicioso (complemento NProxy).
  • Adware que abre enlaces a través de ventanas invisibles de WebView (Island plugin, Cube SDK)
  • Módulos para descargar y ejecutar archivos JavaScript y DEX arbitrarios (Happy SDK, Jar SDK)
  • Herramientas especializadas en fraudes de suscripción (plugin web, Happy SDK, plugin Tap)

Kaspersky detectó la presencia de Necro en dos aplicaciones disponibles en Google Play, ambas con una amplia base de usuarios.

  • Wuta Camera, desarrollada por ‘Benqu’, herramienta de edición de fotos con más de 10 millones de descargas. Necro apareció en la versión 6.3.2.148 y permaneció hasta la versión 6.3.6.148.
  • Max Browser de ‘WA message recover-wamr‘, acumuló un millón de descargas antes de ser retirada. La versión 1.2.0 de Max Browser aún contenía el malware.

Ambas aplicaciones fueron infectadas mediante un SDK publicitario denominado ‘Coral SDK‘, que utilizó técnicas de ofuscación y esteganografía, ocultando la carga maliciosa en imágenes PNG aparentemente inofensivas para descargar la segunda fase del malware, conocida como shellPlugin.

Fuera de la Play Store, el troyano Necro se disemina principalmente a través de versiones modificadas de aplicaciones populares, entre los casos destacados identificados, se encuentran mods de WhatsApp, como ‘GBWhatsApp‘ y ‘FMWhatsApp‘, que ofrecen mejoras en la privacidad y mayores límites para el intercambio de archivos. Otro ejemplo es el mod de Spotify, ‘Spotify Plus‘, que promete acceso gratuito a funciones premium sin anuncios.

En todos los casos, el malware operaba de la misma manera: mostraba anuncios en segundo plano para generar ingresos fraudulentos, instalaba aplicaciones y APK sin el permiso del usuario y utilizaba WebViews invisibles para interactuar con servicios de pago.

Fuente:

Necro Trojan infiltrates Google Play and Spotify and WhatsApp mods