近日,研究人员发现黑客通过 Google Play 在约1100万台设备上安装了新版本的 Necro 恶意安卓载入器。该木马通过合法应用、安卓游戏 mod,以及像 Spotify、WhatsApp 和 Minecraft 等流行软件的修改版所使用的恶意广告软件开发工具包(SDK)进行传播。
新版本的 Necro 会在受感染的设备上安装多个有效载荷,并激活各种恶意插件,包括:通过隐形 WebView 窗口加载的广告软件(如 Island 和 Cube SDK)、下载和执行任意 JavaScript 和 DEX 文件的模块(如 Happy SDK 和 Jar SDK)、支持订阅欺诈的工具(如 Web 和 Happy SDK、Tap 插件),以及将设备用作代理以路由恶意流量的机制(如 NProxy 插件)。
卡巴斯基在 Google Play 上发现了两个包含 Necro 载入器的应用,均拥有大量用户。其中之一是 “Benqu”的 Wuta Camera,一款下载量超过1000万次的照片编辑和美化工具。
威胁分析师的报告显示,Necro 木马在6.3.2.148版本中首次出现在相关应用上,直到6.3.6.148版本时,卡巴斯基才通知谷歌该问题。尽管在6.3.7.138版本中已将木马移除,但任何通过旧版本安装的有效载荷仍可能潜伏在安卓设备上。
第二个携带 Necro 的合法应用是“WA message recover-wamr”的 Max Browser,该应用在 Google Play 上有100万次下载,直到卡巴斯基报告后才被删除。卡巴斯基指出,Max Browser的最新版本1.2.0仍含有Necro,目前没有安全版本可供升级,因此建议用户立即卸载,并使用其他浏览器替代。
卡巴斯基表示,这两款应用程序是通过名为“Coral SDK”的广告SDK感染的,该SDK采用混淆技术隐藏恶意活动,并利用图像隐写术下载第二级有效载荷 shellPlugin,伪装成无害的PNG图像。
Necro 木马在 Play Store 之外,主要通过流行应用程序的非官方网站修改版本(mods)进行传播。卡巴斯基发现了一些著名的例子,包括承诺提供更好隐私控制和扩展文件共享限制的 WhatsApp 修改版“GBWhatsApp”和“FMWhatsApp”。另一个例子是 Spotify 的修改版“Spotify Plus”,宣称可以免费使用无广告的高级服务。此外,报告还提到了一些流行游戏的修改版,如 Minecraft mod 及其他游戏 mod,例如 Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox。
在所有情况下,恶意行为均在后台进行,包括展示广告为攻击者带来欺诈性收入、未经用户同意安装应用程序和 APK,以及使用隐形 WebViews 与付费服务进行交互。
由于非官方安卓软件网站不会准确报告下载数量,因此最新一轮 Necro 木马感染的总量尚不明确,但至少有1100万次来自 Google Play。
扫码加充电群,提升自己!
👇👇👇
原文始发于微信公众号(暗影网安实验室):供应链投毒!安卓恶意软件曝光,超1100 万台设备已“中招”
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论