Necro 木马病毒被发现于 Google Play 上的两款 Android 应用程序中，总下载量超过 1100 万次

卡巴斯基的报告称，Google Play 官方应用商店中两款应用程序被发现感染了 Necro 木马病毒，总下载量约为 1100 万次。

Necro 是一种多阶段加载程序，最初于 2019 年被发现，当时它感染了 CamScanner – 手机 PDF 创建应用程序，该应用程序在 Google Play 上的下载量超过 1 亿次。

目前正在流行的恶意软件新变种通过 Google Play 中的应用程序以及可通过非官方来源获得的流行应用程序和游戏的修改版本进行分发。

根据遥测数据，其中一款应用 Wuta Camera 的下载量已超过 1000 万次。另一款应用 Max Browser 在官方应用商店的下载量已超过 100 万次。卡巴斯基表示，这两款应用的受感染版本已从 Google Play 中移除。

Google Play 上的“无他相机”应用

Google Play 上的 Max Browser 应用

根据卡巴斯基的报告，该恶意软件发现了 Spotify、WhatsApp 以及 Minecraft、Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox 等热门游戏的隐藏非官方模组。

该公司表示，Necro 之所以出现在通过多种来源分发的应用程序中，是因为应用程序开发人员使用了不受信任的解决方案进行广告集成。

Spotify 感染的模块包含一个用于集成多个广告模块的 SDK，其中一个被发现会将设备和应用程序信息发送到命令和控制 (C＆C) 服务器并接收隐藏在图像中的有效载荷。

然而，WhatsApp mod 中注入的加载器有所不同，它使用 Google 的 Firebase Remote Config 云服务作为 C＆C，但最终导致执行相同的有效负载。

在这两起案件中，受害者设备都感染了包含与 Necro 家族相关的众多特征的木马，包括相似的代码和功能、相似的有效载荷结构以及使用已知的 Necro C＆C 服务器。

Necro Trojan 感染链

卡巴斯基专家发现的Necro变种可以将模块下载到受感染的智能手机上，在隐形窗口中显示广告并点击广告，下载可执行文件，安装第三方应用程序，并在隐形的WebView窗口中打开任意链接以执行JavaScript代码。

此外，该恶意软件还可以为用户订阅付费服务，而模块可以通过受害设备重定向互联网流量，并将其用作代理。

据卡巴斯基称，8 月 26 日至 9 月 15 日期间，该木马攻击了俄罗斯、巴西、越南、厄瓜多尔和墨西哥的数万名用户。

技术报告：https://securelist.com/necro-trojan-is-back-on-google-play/113881/

链接：

https://www.securityweek.com/necro-trojan-infects-google-play-apps-with-millions-of-downloads/

讲述普通人能听懂的安全故事