新型Necro木马病毒通过Google Play及非官方渠道感染1100万Android设备

admin 2024年9月24日14:41:03评论15 views字数 1263阅读4分12秒阅读模式
新型Necro木马病毒通过Google Play及非官方渠道感染1100万Android设备
图片 1: Necro 木马

令安卓用户担忧的是,卡巴斯基实验室 发现 Necro 木马病毒的新版本,这是一种能够感染数百万台设备的多阶段恶意软件加载程序。该最新变种被发现潜伏在 Google Play 上流行的应用程序和官方应用程序的修改版本中,包括广泛使用的应用程序,如 Wuta Camera 和 Max Browser。受感染的安卓设备总数估计超过 1100 万台。

Necro 木马病毒最初于 2019 年在 CamScanner 应用程序中被发现,如今再次出现,利用 Google Play 等合法平台和非官方来源。这一次,它不仅感染了小众修改版,还感染了 Spotify、WhatsApp mods、Minecraft 等知名应用程序。令人不安的是,这些受感染的版本已经通过非官方网站甚至官方应用商店进入用户设备,这加剧了风险。

新型Necro木马病毒通过Google Play及非官方渠道感染1100万Android设备
图片 2:包含 Spotify mod 的网站

卡巴斯基的报告指出,该木马的创建者使用了混淆和隐写术来逃避检测。隐写术是移动恶意软件中一种罕见的方法,它被用来将有效载荷隐藏在图像文件中,使标准安全系统难以检测和阻止。

新型Necro木马病毒通过Google Play及非官方渠道感染1100万Android设备
图片 3:Google Play 上的 Wuta Camera 应用

感染始于安装恶意加载程序,该程序通常嵌入经过修改的应用程序中,例如 Spotify Plus,它虚假地声称提供附加功能。安装后,加载程序会与远程命令和控制 (C2) 服务器建立通信。该服务器提供加密响应,其中包括隐藏在 PNG 图像文件 ARGB 通道中的隐藏有效载荷。然后,加载程序提取并执行有效载荷,使攻击者能够控制受感染的设备。

Necro 的功能不仅限于展示广告。它还可以:

  • 下载并执行任意代码(DEX 文件)。
  • 安装其他恶意应用程序。
  • 打开隐藏的网络窗口来运行 JavaScript,可能在用户不知情的情况下让他们订阅付费服务。
  • 通过受害者的设备创建隧道,允许攻击者进一步访问敏感数据。

根据卡巴斯基的遥测数据,Necro 在俄罗斯、巴西和越南特别活跃,但其全球影响力正在扩大。2024 年 8 月底至 9 月中旬,该安全公司在全球范围内阻止了超过 10,000 次 Necro 攻击。然而,考虑到该木马能够渗透官方和非官方应用程序分发渠道,这一数字可能仅占总感染量的一小部分。

如果您下载了任何受感染的应用程序,立即采取行动至关重要。卡巴斯基建议采取以下步骤来保护您的设备:

  1. 更新或删除受感染的应用程序:确保您的应用程序(尤其是来自 Google Play 的应用程序)是最新的。受感染的 Wuta Camera 和 Max Browser 版本已从商店中移除,并且已提供无恶意代码的更新版本。
  2. 坚持使用官方来源:避免从非官方网站下载应用程序,因为这些网站通常含有恶意软件。
  3. 使用可靠的安全解决方案:安装可信赖的移动安全解决方案,可以在 Necro 等威胁感染您的设备之前检测并阻止它们。

博客原文:

  • https://securelist.ru/necro-trojan-is-back-on-google-play/110626/

原文始发于微信公众号(独眼情报):新型Necro木马病毒通过Google Play及非官方渠道感染1100万Android设备

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月24日14:41:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型Necro木马病毒通过Google Play及非官方渠道感染1100万Android设备http://cn-sec.com/archives/3202534.html

发表评论

匿名网友 填写信息