2019 年卡巴斯基实验室注意到仅在 Google Play 上的安装总量就超过 1 亿次的扫描全能王 (CamScanner) 使用的某个广告 SDK 存在恶意行为,随后安全公司将该恶意程序命名为 Necro。
没想到几年后这款恶意软件竟然会卷土重来,卡巴斯基发现另一款热门应用无他相机 (Wuta Camera) 也感染了,无他相机仅在 Google Play 上的安装次数就超过 1000 万次。
还有一款与无他相机一起感染的是名为 Max Browser 的浏览器,但这款浏览器开发商名为 WA message recover-wamr,这是哪家公司蓝点网倒是从未听说过。
卡巴斯基猜测无他相机应该是使用了某些未经过严格验证的广告 SDK,而这些广告 SDK 则可能没有严格的审核程序,Necro 恶意软件就是通过广告 SDK 渗透到无他相机中的。
无他相机来自中国软件开发商上海本趣网络科技有限公司,考虑到中国用户不使用 Google Play 下载安装应用,因此实际感染量应该还会更大,保守估计可能也在几千万的级别。
Necro 恶意软件的主要功能是能够通过下载的恶意模块加载和运行任意 DEX 文件,DEX 文件是为 Android 编写的编译代码,还能安装其他应用或恶意文件、通过受害者的设备进行隧道传输 (变成 IP 代理节点)。
当然核心是广告问题,Necro 背后的黑客团伙主要是为了利益,该恶意软件会通过加载不可见的广告并自动与之互动、打开任意链接并运行 JS 代码,本质目的应该是为了作弊获取广告费,属于会黑产的一部分。
接到卡巴斯基的报告后无他相机已经发布新版本删除该广告 SDK,受影响的版本为 6.3.2.148 及以下版本,最新版 6.3.7.138 版已经完成了清理工作,用户需升级到最新版本。
不过卡巴斯基和无他相机都没有透露这个广告 SDK 的运营方是哪家公司,无法确定广告 SDK 的运营方是否就是 Necro 恶意软件的背后运营者,亦或者这家广告公司存在流程漏洞未经严格审核让 Necro 接入了。
另一款安装量为 100 万次的 Max Browser 在接到卡巴斯基报告后直接从 Google Play 下架了应用,可能要再等等才会发布已经清理恶意广告 SDK 的新版本。
最后还要提醒的是,在 Google Play 之外 Necro 恶意软件一直非常活跃,它们暗藏在各种非官方渠道的修改版软件里,例如 Spotify 破解版、WhatsApp、Minecraft 等,所以不要从非官方渠道下载这类所谓的破解版也是确保安全的重要环节。
