Жертвами новой версии троянца Necro могли стать миллионы владельцев Android-устройств

Жертвами новой версии троянца Necro могли стать миллионы владельцев Android-устройств

С троянцем столкнулись пользователи в России и других странах. Necro до сих пор может распространяться на неофициальных площадках

В конце августа 2024 года эксперты «Лаборатории Касперского» обнаружили, что в несколько популярных приложений в Google Play и на неофициальных площадках проникла новая версия зловреда Necro. Это загрузчик для Android, который скачивает и запускает на заражённом смартфоне другие вредоносные компоненты в зависимости от того, какие команды дадут создатели троянца. В рамках этой вредоносной кампании решения «Лаборатории Касперского» зафиксировали атаки Necro на пользователей в России, Бразилии, Вьетнаме, Эквадоре и Мексике**.

Что умеет троянец. Обнаруженный специалистами «Лаборатории Касперского» вариант Necro может загружать на заражённый смартфон модули, которые показывают на устройстве рекламу в невидимых окнах и прокликивают её, скачивают исполняемые файлы, устанавливают на телефон сторонние приложения, открывают в невидимых окнах произвольные ссылки в WebView и исполняют там произвольный javascript-код, а также исходя из технических характеристик, вероятно, могут оформлять платные подписки. Кроме того, загружаемые модули дают злоумышленникам возможность пересылать интернет-трафик через девайс жертвы. Это позволяет атакующим якобы от лица жертвы посещать нужные им ресурсы, например запрещённые, а также использовать заражённый гаджет как часть прокси-ботнета.

Заражённые приложения на неофициальных площадках. Первой находкой киберэкспертов, в которой скрывался Necro, оказался модифицированный Spotify Plus. Его авторы заявляли, что программа не представляет вреда для устройства и содержит множество дополнительных функций, которых нет в официальном приложении для прослушивания музыки. Позднее специалисты также обнаружили изменённую версию WhatsApp* с загрузчиком Necro, а следом — заражённые модификации игр, среди которых: Minecraft, Stumble Guys, Car Parking Multiplayer. Necro попал в приложения в составе непроверенного рекламного модуля.

Заражённые приложения в GooglePlay. Распространением на сторонних площадках кампания Necro не ограничилась. Специалисты обнаружили троянец и в Google Play. Вредоносный загрузчик был обнаружен в приложении Wuta Camera и в браузере Max Browser. Согласно данным из Google Play, общее количество скачиваний этих приложений превысило 11 миллионов. В обнаруженные приложения на этой платформе Necro попал также в составе непроверенного рекламного модуля.

«Лаборатория Касперского» сообщила Google о заражениях. В результате этого из приложения Wuta Camera был удалён вредоносный код, а приложение Max Browser было удалено из магазина. Однако пользователи по-прежнему рискуют столкнуться с Necro на неофициальных площадках.

«Пользователи скачивают неофициальные модифицированные приложения, когда хотят обойти ограничения официальных приложений или в надежде получить дополнительные бесплатные опции. Этим и пользуются злоумышленники. Зачастую они распространяют вместе с такими приложениями вредоносное ПО, так как на сторонних площадках отсутствует модерация, — комментирует Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского». — Интересно также, что версия Necro, встроенная в приложения, использовала приёмы стеганографии, а именно прятала полезную нагрузку в изображении, чтобы скрыть её. Это редкий приём для мобильных зловредов».

Защитные решения «Лаборатории Касперского» защищают от Necro и детектируют обнаруженный загрузчик как Trojan-Downloader.AndroidOS.Necro.f и Trojan-Downloader.AndroidOS.Necro.h, а вредоносные компоненты — как Trojan.AndroidOS.Necro.

Чтобы защититься от этой и других киберугроз для Android, мы рекомендуем владельцам устройств:

  • скачивать приложения только из официальных источников;
  • регулярно обновлять ОС и установленные приложения;
  • использовать надёжное защитное решение от производителя, эффективность продуктов которого подтверждается независимыми тестовыми лабораториями, например Kaspersky для Android.

* Принадлежит компании Meta, её деятельность признана экстремистской и запрещена в России.

** Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» за 26 августа 15 сентября 2024 года.

Оцените новость

  • Ваша оценка
Итоги:
Проголосовало людей: 0

Оставить комментарий

Ваш e-mail не будет опубликован. Поля обязательны для заполненеия - *

  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
Кликните на изображение чтобы обновить код, если он неразборчив
×