一、Necro木马概述

Necro木马代表了现代移动恶意软件的发展趋势，它是一种高度适应性强、隐蔽性高的恶意软件。这种木马以其模块化架构而著称，这种设计允许它灵活地适应不同的攻击场景和目标。Necro木马能够执行一系列复杂的恶意行为，包括但不限于数据泄露、广告欺诈、远程控制、安装其他恶意应用等。其自更新机制使得它能够快速适应新的防御措施，而隐蔽性则是通过使用高级的混淆和加密技术实现的，包括将恶意代码隐藏在图像文件中等隐写技术。Necro木马的持久性确保了即使在设备重启后，它也能继续执行恶意活动。此外，它使用命令与控制（C2）服务器来接收攻击者的指令，使得攻击者可以远程控制受感染的设备并执行各种命令。这种木马的多功能性和灵活性使其成为一个严重的安全威胁。

二、技术分析过程

1．感染途径：

Google Play中的感染应用：研究人员在Google Play中发现了几款带有Necro木马的应用，包括Wuta Camera和Max Browser。这些应用由于其广泛的用户基础，为木马提供了一个感染大量设备的途径。例如，Wuta Camera应用的下载量超过了1000万次，这意味着潜在的感染规模非常庞大。

非官方渠道的修改版应用：除了通过Google Play分发，Necro木马还通过非官方渠道传播，感染了Spotify Plus和WhatsApp等流行应用的修改版。这些修改版应用通常提供官方版本中没有的功能，吸引用户下载，但同时也带来了安全风险。

2. 隐写术的使用：

Necro木马通过将恶意代码隐藏在PNG图像文件中来避免检测。这种技术称为隐写术，它允许攻击者在不引起用户怀疑的情况下分发恶意软件。当应用启动时，隐藏的恶意代码被提取并执行，从而在用户不知情的情况下控制设备。

3. 多阶段攻击策略：

第一阶段：加载器-木马的感染过程始于一个加载器，该加载器连接到C2服务器，通常利用Firebase Remote Config来接收攻击者的指令。这一阶段的目的是在设备上建立一个持久的感染点。

第二阶段：有效载荷下载-加载器从C2服务器下载隐藏在PNG图像中的恶意有效载荷。使用隐写术算法提取有效载荷，然后将其解码并加载到内存中执行。

第三阶段：插件执行-木马的插件（NProxy、Island、Web、Happy SDK、Cube SDK和Tap）执行各种任务。例如，NProxy插件可以创建设备隐蔽隧道，允许攻击者通过受害者的设备进行通信；Island插件可以显示不可见的广告，并与广告进行交互；Web/Lotus SDK插件可以执行复杂的网络操作，包括下载和执行任意代码。

4. 高级规避技术：

混淆技术-Necro木马使用OLLVM等工具对代码进行混淆，使得安全研究人员难以分析。这种混淆技术可以隐藏恶意代码的真实功能和目的，从而避免被安全软件检测。

模块化架构-木马采用模块化架构，可以根据需要下载和执行不同的插件。这种架构提供了极大的灵活性，使得木马能够快速适应新的攻击场景和目标。

5. 插件功能：

NProxy-创建设备隧道，允许攻击者通过受害者的设备进行通信。这种隐蔽隧道可以用来传输恶意流量，或者作为攻击者控制受感染设备的通道。

Island-显示不可见的广告，并与广告进行交互。这种插件可以通过模拟用户的点击和观看行为来为攻击者创造非法收入。

Web/Lotus SDK-执行复杂的网络操作，包括下载和执行任意代码。这种插件可以用于安装额外的恶意软件或进行数据泄露。

Happy SDK-结合了NProxy和Web插件的逻辑，用于下载和执行其他插件。这种插件的目的是扩展木马的功能，使其能够执行更多的恶意活动。

Cube SDK-作为辅助插件，用于加载其他处理广告的插件。这种插件可以帮助攻击者更有效地管理广告相关的恶意活动。

Tap-仍在开发中，包含与广告页面交互的未使用功能。这种插件展示了Necro木马的持续进化和攻击者不断尝试新方法的能力。

三、Necro木马对Android设备的影响

Necro木马的影响范围令人震惊。超过1100万部Android设备受到影响，表明了这种恶意软件能够迅速有效地传播。受影响用户的后果可能很严重，从未经授权的金融交易到重大数据泄露都有可能。此外，木马执行任意代码的能力意味着它可以被用来部署额外的恶意软件，进一步加剧了威胁的存在。

参考链接：

https://securelist.com/necro-trojan-is-back-on-google-play/113881

原文始发于微信公众号（白泽安全实验室）：Necro木马利用隐写术和多阶段攻击策略感染超过1100万设备