В тревожном повороте событий, троян Necro вновь появился на Google Play, проникая в широко используемые приложения и затрагивая миллионы устройств Android по всему миру.
Вредоносное ПО в популярных приложениях
Последняя версия трояна Necro была обнаружена в модифицированных версиях известных приложений, таких как Spotify и Minecraft. Особенно примечателен мод Spotify под названием Spotify Plus, загруженный из неофициальных источников, который был отмечен за наличие вредоносного кода. Этот мод обманчиво утверждал, что предлагает расширенные функции и сертификаты безопасности, но вместо этого инициировал сложную операцию с вредоносным ПО.
Одно из скомпрометированных приложений, Wuta Camera, набрало более 10 миллионов загрузок на Google Play. После обнаружения вредоносного ПО Google оперативно удалил зараженную версию. Однако многие пользователи уже успели скачать скомпрометированные версии до этого открытия, что иллюстрирует способность трояна распространяться незамеченным.
Продвинутые техники маскировки
Троян Necro использует продвинутые техники для уклонения от обнаружения. Применяя обфускацию и стеганографию, вредоносное ПО скрывает свой полезный груз внутри файлов приложений, усложняя процесс идентификации для инструментов безопасности. Встраиваясь в файлы изображений PNG, оно остается скрытым на виду, ожидая инструкций от своих командно-контрольных (C2) серверов.
После активации троян может выполнять ряд вредоносных действий, включая отображение рекламы в невидимых окнах, загрузку и выполнение файлов, открытие произвольных ссылок и даже подписку пользователей на платные услуги без их согласия. Кроме того, троян использует устройство жертвы для создания туннелей, позволяя киберпреступникам проводить вредоносные действия незаметно.
Распространение и эволюция Necro
Распространение трояна Necro выходит за пределы Google Play. Исследователи обнаружили множество зараженных модов на неофициальных веб-сайтах, включая измененные версии WhatsApp. Эти скомпрометированные приложения демонстрируют аналогичное вредоносное поведение, такое как возможность загрузки и выполнения вторичных полезных грузов с C2 серверов.
Интересно, что последние версии Necro используют сервис Google Firebase Remote Config для хранения и извлечения вредоносных файлов, добавляя еще один уровень сложности к операциям вредоносного ПО. Использование генерации случайных чисел для определения момента выполнения полезного груза еще больше усложняет усилия по его обнаружению.
Растущая угроза
Способность Necro проникать как в официальные, так и в неофициальные источники приложений подчеркивает растущую сложность вредоносного ПО, нацеленного на пользователей Android. Используя доверенные платформы, такие как Google Play, авторы трояна смогли эксплуатировать популярные приложения, подвергая риску миллионы пользователей.
Хотя Google Play принял меры по удалению зараженных приложений, присутствие вредоносного ПО в широко используемых приложениях служит напоминанием о важности бдительности пользователей. Пользователям Android рекомендуется воздерживаться от загрузки приложений из неофициальных источников и обеспечивать свои устройства актуальными решениями безопасности.
Троян Necro продолжает эволюционировать, применяя все более сложные методы доставки своего полезного груза. По мере его адаптации эксперты по кибербезопасности должны разрабатывать новые стратегии для противодействия этой угрозе.
