嘶吼专业版 2024年09月26日
Android 恶意软件“Necro”通过 Google Play 感染 1100 万台设备
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

Necro 恶意软件加载程序的新版本通过 Google Play 和非官方网站感染了 1100 万台 Android 设备。该恶意软件通过合法应用程序、Android 游戏模组和流行软件的修改版所使用的恶意广告软件开发工具包 (SDK) 安装。Necro 会在受感染的设备上安装多个有效负载,包括通过不可见的 WebView 窗口加载链接的广告软件、下载和执行任意 JavaScript 和 DEX 文件、促进订阅欺诈以及使用受感染设备作为代理来路由恶意流量。

😨 **通过 Google Play 传播:** 卡巴斯基在 Google Play 上发现了两个包含 Necro 加载程序的应用程序,分别是“Wuta Camera”和“WA message recovery-wamr”。这两个应用程序都拥有大量的用户群,在 Google Play 上的总下载量超过 1100 万次。

🕵️ **利用恶意 SDK:** Necro 恶意软件利用名为“Coral SDK”的广告 SDK 在 Google Play 上传播。该 SDK 采用混淆技术隐藏其恶意活动,并使用图像隐写术下载伪装成无害 PNG 图像的第二阶段有效负载 shellPlugin。

😈 **非官方网站上的传播:** Necro 恶意软件也通过非官方网站分发的流行应用程序的修改版本 (mod) 进行传播。卡巴斯基发现的著名例子包括 WhatsApp mods“GBWhatsApp”和“FMWhatsApp”,以及 Spotify mod“Spotify Plus”。这些修改版承诺提供更好的功能,但实际上会感染 Necro 加载程序。

💰 **恶意活动:** Necro 恶意软件会执行各种恶意活动,包括在后台显示广告为攻击者创造欺诈性收入、在未经用户同意的情况下安装应用和 APK,以及使用不可见的 WebView 与付费服务进行交互。

🌐 **广泛影响:** 由于非官方 Android 软件网站不提供可靠的下载数量报告,因此此次最新的 Necro 木马病毒感染总数尚不清楚,但来自 Google Play 的感染数量至少为 1100 万。

⚠️ **建议:** 用户应谨慎下载应用程序,特别是来自非官方网站的应用程序。建议使用官方应用程序商店,并注意应用程序的权限和评论。

🔒 **安全措施:** 用户应定期更新设备的操作系统和应用程序,并使用安全软件来保护设备免受恶意软件的攻击。

在恶意 SDK 供应链攻击中,Android 版 Necro 恶意软件加载程序的新版本通过 Google Play 安装在 1100 万台设备上。

此新版本的 Necro 木马通过合法应用程序、Android 游戏模组和流行软件如 Spotify、WhatsApp 和 Minecraft 的修改版所使用的恶意广告软件开发工具包 (SDK) 安装。

Necro 会在受感染的设备上安装多个有效负载并激活各种恶意插件,包括:

·通过不可见的 WebView 窗口加载链接的广告软件(Island 插件、Cube SDK)

·下载并执行任意 JavaScript 和 DEX 文件的模块(Happy SDK、Jar SDK)

·专门用于促进订阅欺诈的工具(Web 插件、Happy SDK、Tap 插件)

·使用受感染设备作为代理来路由恶意流量的机制(NProxy 插件)

Google Play 上的 Necro Trojan

卡巴斯基在 Google Play 上的两款应用中发现了 Necro 加载程序,这两款应用都拥有大量用户群。

第一个是“Benqu”开发的 Wuta Camera,这是一款照片编辑和美化工具,在 Google Play 上的下载量超过 10,000,000 次。

Google Play 上的“无他相机”应用

威胁分析师报告称,Necro 病毒在 6.3.2.148 版本发布时出现在该应用程序中,并一直嵌入到 6.3.6.148 版本,也就是卡巴斯基通知谷歌的时候。

虽然该木马在 6.3.7.138 版本中被删除,但任何可能通过旧版本安装的有效载荷可能仍潜伏在 Android 设备上。

第二个携带 Necro 的合法应用程序是“WA message recovery-wamr”的 Max Browser,在卡巴斯基报告发布后被移除之前,它在 Google Play 上的下载量达到 100 万次。

卡巴斯基声称,Max Browser 的最新版本 1.2.0 仍然携带 Necro,因此没有可供升级到的干净版本,建议网络浏览器用户立即卸载它并切换到其他浏览器。

卡巴斯基表示,这两款应用程序都感染了名为“Coral SDK”的广告 SDK,该 SDK 采用混淆技术隐藏其恶意活动,并使用图像隐写术下载伪装成无害 PNG 图像的第二阶段有效负载 shellPlugin。

Necro 的感染图

谷歌表示,他们已经知道被举报的应用程序并且正在对其进行调查。

外部官方来源

在 Play Store 之外,Necro 木马主要通过非官方网站分发的流行应用程序的修改版本 (mod) 进行传播。

卡巴斯基发现的著名例子包括 WhatsApp mods“GBWhatsApp”和“FMWhatsApp”,它们承诺提供更好的隐私控制和扩展的文件共享限制。另一个是 Spotify mod“Spotify Plus”,它承诺免费访问无广告的高级服务。

传播恶意 Spotify mod 的网站

报告还提到了 Minecraft 模组以及其他热门游戏如 Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox 的模组,这些模组都感染了 Necro 加载程序。

在所有情况下,恶意行为都是相同的——在后台显示广告为攻击者创造欺诈性收入、在未经用户同意的情况下安装应用和 APK,以及使用不可见的 WebView 与付费服务进行交互。

由于非官方 Android 软件网站不提供可靠的下载数量报告,因此此次最新的 Necro 木马病毒感染总数尚不清楚,但来自 Google Play 的感染数量至少为 1100 万。

参考及来源:https://www.bleepingcomputer.com/news/security/android-malware-necro-infects-11-million-devices-via-google-play/

?发表于:中国 北京

?️ 阅读原文

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

Necro 恶意软件 Android Google Play 安全 广告 SDK
相关文章