11 млн заражений: троян Necro проник в сердце Google Play

В конце августа специалисты Лаборатории Касперского зафиксировали активность вредоносного ПО под названием Necro, который проник в популярные приложения на платформе Google Play и неофициальных источниках. Necro — это загрузчик для Android , способный скачивать и запускать на устройстве жертвы различные вредоносные модули. Заражения были выявлены в Бразилии, России, Вьетнаме, Эквадоре и Мексике.

Троян обладает обширными функциями. Necro способен загружать на устройство модули, которые показывают рекламу в скрытых окнах и автоматически прокликивают её, скачивают исполняемые файлы и устанавливают сторонние приложения. Necro может открывать произвольные ссылки в WebView и запускать JavaScript-код, а также, вероятно, оформлять платные подписки. Кроме того, злоумышленники могут пересылать интернет-трафик через заражённые устройства, используя их как прокси для обхода ограничений и создания ботнетов.

Одним из первых приложений, заражённых Necro, стал модифицированный Spotify Plus, который распространялся на неофициальных площадках. В описании утверждалось, что приложение безопасно и предоставляет расширенные функции по сравнению с официальной версией. Кроме того, специалисты обнаружили заражённые версии WhatsApp и популярных игр, таких как Minecraft, Stumble Guys и Car Parking Multiplayer. Necro попал в эти приложения через вредоносный рекламный модуль.

Опасность Necro не ограничилась только сторонними площадками. Вредоносное ПО также было найдено в приложениях Wuta Camera и Max Browser, доступных на Google Play. По данным платформы, общее количество загрузок этих приложений превысило 11 миллионов. Necro проник в программы через непроверенный рекламный модуль.

После уведомления Google, из Wuta Camera был удалён вредоносный код, а Max Browser было полностью удалено из магазина. Однако риск заражения сохраняется для пользователей, скачивающих приложения из неофициальных источников.

Особо интересно, что версия Necro использовала стеганографию — метод скрытия данных в изображениях — для маскировки вредоносной активности. Такой приём редко встречается в мобильных угрозах.

Для защиты устройств пользователям рекомендуется скачивать приложения только из официальных источников, регулярно обновлять операционную систему и использовать проверенные антивирусные решения.