Necro 恶意软件加载器通过 Google Play 感染了 1100 万台 Android 设备

卡巴斯基研究人员发现了 Necro 木马病毒的新版本，该病毒通过 Google Play 和非官方来源的热门应用感染了数百万台 Android 设备。

该恶意软件使用混淆和隐写术等高级技术，很难被发现。

研究人员发现，Wuta Camera 和 Max Browser 等应用在 Google Play Store 上受到感染。

Spotify 和 WhatsApp mods 的非官方版本也受到了感染，影响了超过 1100 万台设备。

Google Play 上的“Necro”

Necro 加载程序感染了 Google Play 上的两个著名应用程序：Wuta Camera 和 Max Browser。

Wuta Camera 下载量超过 1000 万次，从 6.3.2.148 版本开始包含 Necro。

恶意代码一直嵌入在后续版本中，包括 6.3.6.148，直到卡巴斯基将其报告给 Google，导致 6.3.7.138 版本中删除了加载程序。

同样，下载量超过一百万次的 Max Browser 从 1.2.0 版本开始也受到感染。

该应用程序在被发现后也被下架。

来自非官方来源的应用程序

该恶意软件还出现在 Spotify Plus（通过“spotiplus[.]xyz”分发）等流行应用程序的非官方版本以及 GBWhatsApp 和 FMWhatsApp 等各种 WhatsApp 模块中。

这些版本通常在第三方网站上找到，声称提供增强功能，但实际上却充斥着 Necro 木马病毒。

感染媒介通常来自集成到这些修改后的应用程序中的广告模块。

该木马还通过 Minecraft、Stumble Guys 和 Car Parking Multiplayer 的游戏模块传播。

恶意 SDK

Necro 木马病毒依赖于嵌入在受感染应用程序中的恶意 SDK（Coral SDK）。

SDK 初始化后，它会与命令和控制 (C2) 服务器通信，通过 POST 请求发送有关设备和应用程序的加密数据。

C2 服务器会响应指令，其中包括一个下载看似无害的图像文件的链接。

该图像隐藏了第二阶段的有效载荷，该载荷通过隐写术提取。

图像蓝色通道中的最低有效字节包含以 Base64 编码的有效载荷。然后使用 DexClassLoader 或类似机制执行此有效载荷。

一旦安装在设备上，Necro 可以：

• 下载并运行任意代码，包括 DEX 文件和其他恶意应用程序。

• 在后台打开WebView窗口与广告进行互动，产生欺诈性收入。

• 默默安装其他应用程序或在用户不知情的情况下订阅高级服务。

• 使用 NProxy 等模块通过设备创建隧道，允许攻击者路由恶意流量。

• 定期将设备数据（例如 IMEI、操作系统版本以及是否启用了调试工具）发送回其 C2 服务器。

该恶意软件的模块化架构使其能够动态加载新特性或功能，使其具有高度的适应性。

在某些情况下，Necro 的插件（如 Web 或 Island）用于随机间隔显示广告或在后台打开恶意网站。

其他插件（如 Happy SDK 或 Cube SDK）旨在帮助 Necro 逃避检测或进一步下载其他有效载荷，从而扩展其在受感染设备上的功能。

如果您之前下载过 Wuta Camera，请升级到最新版本并在您的设备上运行完整的 AV 扫描。

应卸载 Max Browser，因为没有已知的清晰版本。

对于 Google Play 之外的应用程序，除非用户了解并信任发布者/创建者。

否则应完全避免使用这些应用程序。

每当安装新应用程序时，都要监控其电池和数据消耗一段时间，以发现可能发生的任何后台活动。

原文始发于微信公众号（网络研究观）：Necro 恶意软件加载器通过 Google Play 感染了 1100 万台 Android 设备