Malware Necro infectou 11 milhões de dispositivos via Google Play

Segundo informações da Kaspersky, o carregador de malware Necro infectou 11 milhões de dispositivos via Google Play.

Uma nova versão do carregador de malware Necro para Android foi instalada em 11 milhões de dispositivos via Google Play em ataques maliciosos à cadeia de suprimentos de SDK.

Malware Necro infectou 11 milhões de dispositivos via Google Play

Malware Necro infectou 11 milhões de dispositivos via Google Play
Malware Necro infectou 11 milhões de dispositivos via Google Play – App Wuta Camera no Google Play (Fonte: BleepingComputer)

Esta nova versão do Trojan Necro foi instalada por meio de kits de desenvolvimento de software (SDK) de publicidade maliciosa usados ​​por aplicativos legítimos, mods de jogos Android e versões modificadas de softwares populares, como Spotify, WhatsApp e Minecraft.

O Necro instala várias cargas úteis em dispositivos infectados e ativa vários plugins maliciosos, incluindo:

  • Adware que carrega links através de janelas WebView invisíveis (plugin Island, Cube SDK)
  • Módulos que baixam e executam arquivos JavaScript e DEX arbitrários (Happy SDK, Jar SDK)
  • Ferramentas projetadas especificamente para facilitar a fraude de assinatura (plugin da Web, Happy SDK, plugin Tap)
  • Mecanismos que usam dispositivos infectados como proxies para rotear tráfego malicioso (plugin NProxy)

A Kaspersky descobriu a presença do carregador Necro em dois aplicativos no Google Play, ambos com uma base de usuários substancial.

O primeiro é o Wuta Camera da ‘Benqu’, uma ferramenta de edição e embelezamento de fotos com mais de 10.000.000 de downloads no Google Play.

Os analistas de ameaças relatam que o Necro apareceu no aplicativo com o lançamento da versão 6.3.2.148 e permaneceu incorporado até a versão 6.3.6.148, quando a Kaspersky notificou o Google.

Embora o trojan tenha sido removido na versão 6.3.7.138, quaisquer payloads que possam ter sido instalados por meio de versões mais antigas ainda podem estar à espreita em dispositivos Android.

O segundo aplicativo legítimo que carregava o Necro é o Max Browser da ‘WA message recover-wamr’, que teve 1 milhão de downloads no Google Play até ser removido, após o relatório da Kaspersky.

A Kaspersky afirma que a versão mais recente do Max Browser, 1.2.0, ainda carrega o Necro, então não há uma versão limpa disponível para atualização, e os usuários do navegador da web são recomendados a desinstalá-lo imediatamente e mudar para um navegador diferente.

A Kaspersky diz que os dois aplicativos foram infectados por um SDK de publicidade chamado “Coral SDK”, que empregou ofuscação para esconder suas atividades maliciosas e também esteganografia de imagem para baixar a carga útil de segundo estágio, shellPlugin, disfarçada como imagens PNG inofensivas.

Malware Necro infectou 11 milhões de dispositivos via Google Play
Malware Necro infectou 11 milhões de dispositivos via Google Play – Diagrama de infecção do Necro (Fonte: Kaspersky)

O Google disse ao BleepingComputer que eles estavam cientes dos aplicativos relatados e os estavam investigando.

Fora da Play Store, o Trojan Necro é espalhado principalmente por meio de versões modificadas de aplicativos populares (mods) que foram distribuídos por sites não oficiais.

Exemplos notáveis ​​detectados pela Kaspersky incluem os mods do WhatsApp “GBWhatsApp” e “FMWhatsApp”, que prometem melhores controles de privacidade e limites estendidos de compartilhamento de arquivos. Outro é o mod do Spotify, ‘Spotify Plus’, que promete acesso gratuito a serviços premium sem anúncios.

Malware Necro infectou 11 milhões de dispositivos via Google Play
Malware Necro infectou 11 milhões de dispositivos via Google Play – Site espalhando um mod malicioso do Spotify (Fonte: Kaspersky)

O relatório também menciona mods do Minecraft e mods para outros jogos populares como Stumble Guys, Car Parking Multiplayer e Melon Sandbox, que foram infectados com o carregador Necro.

Em todos os casos, o comportamento malicioso foi o mesmo — exibir anúncios em segundo plano para gerar receita fraudulenta para os invasores, instalar aplicativos e APKs sem o consentimento do usuário e usar WebViews invisíveis para interagir com serviços pagos.

Como sites não oficiais de software Android não relatam números de download de forma confiável, o número total de infecções por esta última onda de Trojan Necro é desconhecido, mas é de pelo menos 11 milhões do Google Play.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.