Se utilizaron versiones modificadas de aplicaciones legítimas de Android asociadas con Spotify, WhatsApp y Minecraft para difundir una nueva versión de un conocido cargador de malware llamado Necro.
Kaspersky dicho También se han detectado algunas aplicaciones maliciosas en Google Play Store. Se han descargado un total de 11 millones de veces. Incluyen:
- Cámara Wuta – Nice Shot Always (com.benqu.wuta) – Más de 10 millones de descargas
- Max Browser-Private & Security (com.max.browser): más de 1 millón de descargas
Al momento de escribir este artículo, Max Browser ya no está disponible para descargar en Play Store. Wuta Camera, por otro lado, se actualizó (versión 6.3.7.138) para eliminar el malware. La última versión de la aplicación, 6.3.8.148, se lanzó el 8 de septiembre de 2024.
Aún no está claro cómo las dos aplicaciones fueron comprometidas por el malware, pero se cree que la causa es un kit de desarrollo de software malicioso (SDK) para integrar funciones publicitarias.
Necro (que no debe confundirse con una botnet del mismo nombre) fue descubierto por primera vez por la empresa rusa de ciberseguridad en 2019 mientras estaba oculto dentro de una popular aplicación de escaneo de documentos llamada CamScanner.
CamScanner más tarde culpa el problema en un SDK publicitario proporcionado por un tercero llamado AdHub que, según afirmaba, contenía un módulo malicioso para recuperar malware de nivel superior desde un servidor remoto, actuando esencialmente como un cargador para todo tipo de malware en los dispositivos de las víctimas.
La nueva versión del malware no es diferente, aunque incorpora técnicas de ofuscación para evadir la detección, incluida la explotación de la esteganografía para ocultar cargas útiles.
“Las cargas útiles descargadas podrían, entre otras cosas, mostrar anuncios en ventanas invisibles e interactuar con ellas, descargar y ejecutar archivos DEX arbitrarios, instalar aplicaciones descargadas”, dijo el investigador de Kaspersky, Dmitry Kalinin.
También puede “abrir enlaces arbitrarios en ventanas WebView invisibles y ejecutar cualquier código JavaScript en ellos, atravesar el dispositivo de la víctima y potencialmente suscribirse a servicios pagos”.
Uno de los principales canales de distribución de Necro son las versiones modificadas de aplicaciones y juegos populares alojados en sitios y tiendas de aplicaciones no oficiales. Una vez descargadas, las aplicaciones inicializan un módulo llamado Coral SDK, que, a su vez, envía una solicitud HTTP POST a un servidor remoto.
Luego, el servidor responde con un enlace a un supuesto archivo de imagen PNG alojado en adoss.spinsok.[.]com, después de lo cual el SDK procede a extraer la carga útil principal: un archivo Java Archive (JAR) codificado en Base64.
Las funciones maliciosas de Necro se llevan a cabo a través de un conjunto de módulos adicionales (también llamados complementos) descargados del servidor de comando y control (C2), lo que le permite realizar una amplia gama de acciones en el dispositivo Android infectado.
- NProxy: crea un túnel a través del dispositivo de la víctima
- isla: genera un número pseudoaleatorio utilizado como intervalo de tiempo (en milisegundos) entre la visualización de anuncios intrusivos.
- web: comuníquese periódicamente con un servidor C2 y ejecute código arbitrario con permisos elevados al cargar enlaces específicos
- Cube SDK: un módulo auxiliar que carga otros complementos para administrar anuncios en segundo plano
- Toque: descargue código JavaScript arbitrario y la interfaz WebView desde el servidor C2, que son responsables de cargar y mostrar anuncios en secreto.
- Happy SDK/Jar SDK: un módulo que combina NProxy y módulos web con algunas diferencias menores
El descubrimiento de Happy SDK planteó la posibilidad de que los actores de amenazas detrás de la campaña también estuvieran experimentando con una versión no modular.
“Esto sugiere que Necro es muy adaptable y puede cargar diferentes iteraciones de sí mismo, tal vez para introducir nuevas características”, dijo Kalinin.
Los datos de telemetría recopilados por Kaspersky muestran que bloqueó más de diez mil ataques Necro en todo el mundo entre el 26 de agosto y el 15 de septiembre de 2024, Rusia, Brasil, Vietnam, Ecuador, México, Taiwán, siendo España, Malasia, Italia y Turquía el mayor número. de ataques.
“Esta nueva versión es un cargador de múltiples etapas que utiliza esteganografía para ocultar la carga útil de la segunda etapa, una técnica muy rara para el malware móvil, así como la ofuscación para evadir la detección”, dijo Kalinin.
“La arquitectura modular ofrece a los creadores de troyanos una amplia gama de opciones para la entrega masiva y dirigida de actualizaciones del cargador o nuevos módulos maliciosos dependiendo de la aplicación infectada. »