Мы в блоге Kaspersky Daily постоянно призываем читателей внимательно относиться к контенту, который они загружают на свои устройства. Ведь даже в Google Play могут затесаться приложения с вредоносным ПО, чего уж говорить о неофициальных источниках с модифицированными или взломанными версиями. Сколько существует цифровой мир, столько и будут трояны проникать в устройства, не имеющие надежной защиты.

Сегодня расскажем историю, как 11 миллионов пользователей Android по всему миру стали жертвами трояна Necro. В каких приложениях мы нашли это вредоносное ПО и как от него защититься — в этом материале.

Что такое Necro

Наши постоянные читатели, скорее всего, на этом месте улыбнулись — мы писали про Necro еще в 2019 году. Тогда наши эксперты обнаружили троян в приложении для распознавания текста CamScanner, которое пользователи Android загрузили из Google Play более 100 миллионов раз. И вот какие-то некроманты возродили старый троян, снабдив его новыми возможностями: мы обнаружили его как в популярных приложениях в Google Play, так и в различных модах приложений, размещенных на неофициальных ресурсах. Вероятнее всего, разработчики этих приложений использовали непроверенное решение для интеграции рекламы, через которое Necro и проник в код.

Necro сегодня — это загрузчик, который обфусцирован, чтобы избежать детектирования (правда, злоумышленникам это не помогло, мы его все равно нашли). Вредоносную нагрузку он скачивает не менее хитрым образом: прячет ее код в безобидной с виду картинке, используя стеганографию.

А скачанные вредоносные модули умеют загружать и запускать любые DEX-файлы (скомпилированный код Android-приложения), устанавливать скачанные приложения, запускать туннель через устройство жертвы и даже (потенциально) оформлять платные подписки. Кроме того, в невидимых окнах они могут показывать рекламу и взаимодействовать с ней, а также открывать произвольные ссылки и выполнять любой JavaScript-код.

Подробнее о том, как именно устроен и работает Necro, читайте в блоге Securelist.

Где скрывается Necro

Нам удалось отыскать следы вредоносного ПО в пользовательской версии Spotify, в приложении для редактирования фото Wuta Camera, в браузере Max Browser, в модах для WhatsApp, Minecraft и других популярных игр.

В модифицированной версии Spotify

В самом начале исследования наше внимание привлекла необычная модификация приложения для прослушивания музыки: Spotify Plus. Пользователям предлагалось загрузить новую версию любимого приложения из неофициального источника — бесплатно и с разблокированной подпиской для безлимитного прослушивания музыки, как онлайн, так и офлайн. Звучит приятно, да и зеленая кнопка «Скачать Spotify MOD APK» так и манит, правда? Не поддавайтесь искушению! Это — вредоносное приложение, несмотря на наличие надписей «Безопасность верифицирована» и «Официальная сертификация», и оно принесет немало проблем.

Ого, еще и все версии можно посмотреть. Интересно, там тоже Necro или другие трояны?

При запуске этого приложения троян отправлял на командный сервер злоумышленников сообщение со сведениями о зараженном устройстве, а в ответ получал ссылку на скачивание картинки в формате PNG. В этом изображении с помощью стеганографии и была спрятана вредоносная нагрузка.

В приложениях в Google Play

Если мод для Spotify распространялся по неофициальным каналам, то приложение Wuta Camera с Necro — находилось прямо в Google Play, откуда это приложение с трояном внутри скачали более 10 миллионов раз. По нашим данным, загрузчик Necro попал в приложение в версии 6.3.2.148, а начиная с версии 6.3.7.138 был удален, поэтому мы рекомендуем всем пользователям Wuta Camera обновиться как можно скорее, если это еще не сделано.

За большим количеством загрузок и достойной оценкой скрывался троян

Аудитория Max Browser куда меньше — всего 1 миллион пользователей. Necro проник в код приложения в версии 1.2.0. После нашего уведомления приложение было удалено из Google Play, но оно по-прежнему доступно на сторонних ресурсах — к ним, понятное дело, доверия должно быть еще меньше, вполне возможно, что там до сих пор обитают троянизированные версии браузера.

В модах для WhatsApp, Minecraft и других популярных приложениях

Альтернативные клиенты мессенджеров обычно имеют расширенную функциональность по сравнению с официальными. Но ко всем модам, расположены они в Google Play или на сторонних ресурсах, следует относиться с подозрением — нередко они идут в комплекте с троянами.

Так, мы обнаружили модификации для WhatsApp с загрузчиком Necro, которые распространяются в неофициальных источниках, а также моды для Minecraft, Stumble Guys, Car Parking Multiplayer и Melon Sandbox. Выбор злоумышленников не случаен — они всегда стараются заразить популярнейшие игры и приложения.

Как защититься от Necro

В первую очередь отметим, что мы настоятельно не рекомендуем загружать приложения из неофициальных источников, ведь в таком случае риск инфицировать свое устройство гораздо выше. При этом, как показывает практика, к приложениям из Google Play и других официальных каталогов тоже следует относиться со скепсисом. Даже такое популярное приложение, как Wuta Camera с 10 миллионами загрузок, оказалось бессильно перед Necro.

Позаботьтесь о защите своего устройства, чтобы внезапное появление трояна не стало для вас сюрпризом. Kaspersky для Android обнаруживает Necro и другие подобные вредоносные программы.
Проверяйте страницу приложения в магазине, прежде чем загрузить его. Особенно рекомендуем обратить внимание на отзывы с низкими оценками — как правило, именно они раскрывают все возможные проблемы, с которыми придется столкнуться. Общий высокий рейтинг и восторженные отзывы достаточно легко накрутить.
Не ищите моды и взломанные версии. Практически всегда такие приложения оказываются напичканы всяческими троянами: от самых безобидных до мобильных шпионов типа CanesSpy.

Блог Касперского

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x