Google продолжает активно работать над усилением безопасности своей операционной системы Android, стремясь защитить пользователей от вредоносных угроз. Однако, несмотря на все принятые меры, недавнее открытие поставило под сомнение безопасность некоторых приложений, доступных в Google Play Store. Обнаружен новый вариант вредоносного ПО Necro Trojan, который проник в несколько Android-приложений, вызывая обеспокоенность среди пользователей.
Возвращение Necro Trojan
Первоначально идентифицированный исследователями безопасности Kaspersky в 2019 году, Necro Trojan вновь появился, представляя значительную угрозу для Android-устройств. Механизм действия этого вредоносного ПО заключается в заражении устройства пользователя при установке скомпрометированного приложения. После активации Necro незаметно загружает дополнительные вредоносные компоненты, используя стеганографию для их сокрытия в казалось бы безобидных сообщениях. Эта тактика не только генерирует доход для злоумышленников за счет невидимых рекламных показов, но и негативно сказывается на времени работы батареи и общей производительности устройства.
Кроме того, вредоносное ПО может подписывать зараженное устройство на платные сервисы без согласия пользователя. Особенно опасны возможности Necro по загрузке и выполнению произвольных JavaScript и DEX файлов, что значительно увеличивает потенциальный ущерб.
Модифицированные приложения под ударом
В недавнем расследовании исследователи Kaspersky выявили модифицированную версию Spotify, а именно Spotify Plus (версия 18.9.40.5), доступную на сайте, который был признан опасным. Этот сайт ложно утверждал, что приложение безопасно и сертифицировано, предлагая функции, недоступные в официальном приложении Spotify.
Кроме модифицированных приложений, исследования Kaspersky показали, что несколько легитимных Android-приложений с общим числом загрузок в 11 миллионов на Google Play Store также были скомпрометированы вредоносным ПО Necro Trojan. Одним из ярких примеров является приложение Wuta Camera, которое само по себе насчитывает 10 миллионов загрузок. Другое затронутое приложение, Max Browser, имело более 1 миллиона загрузок и было идентифицировано как зараженное с момента выпуска версии 12.0.
К счастью, Google быстро отреагировал и удалил как Wuta Camera, так и Max Browser из Play Store. Однако пользователям, которые ранее установили эти приложения, настоятельно рекомендуется немедленно их удалить. Также была обнаружена модифицированная версия WhatsApp с тем же именем пакета, доступная в Play Store, которая содержала загрузчик Necro. Исследователи также обнаружили присутствие Necro в различных других модифицированных игровых приложениях, включая Minecraft, Stumble Guys, Car Parking Multiplayer и Melon Sandbox.
По оценкам экспертов по безопасности, фактическое количество зараженных устройств может значительно превышать текущие оценки, особенно учитывая, что технически подкованные пользователи часто загружают модифицированные приложения из непроверенных источников, что усложняет отслеживание. Атака Necro в основном затронула пользователей Android в таких регионах, как Россия, Бразилия и Вьетнам. Пользователям рекомендуется проверить список затронутых приложений и их версий для своевременного удаления и обеспечения безопасности своих устройств.
