卡巴斯基(Kaspersky)在Google Play商店中發現了新版本的NECRO惡意軟件。它隱藏在兩個合法的Android應用中,它在全球範圍內感染了超過1100萬用戶。該病毒使用複雜的技術來隱藏其欺詐活動。
卡巴斯基(Kaspersky)在Google Play商店中發現了已知的惡意軟件的新版本。該病毒稱為NECRO,是“裝載機”之一。這是旨在滲透系統和的惡意軟件加載其他惡意軟件。該病毒已經在2019年脫穎而出,感染了超過1億個Android智能手機。
要輸入受害者的智能手機,該病毒也表現為一匹特洛伊木馬,或英語的“特洛伊木馬”。顯然,惡意軟件偽裝在無害應用程序中,以欺騙互聯網用戶。在這種情況下,Necro隱藏在Play商店的兩個應用程序的代碼中。
在Play商店下載一千萬
正如卡巴斯基(Kaspersky)指出的那樣,這兩個verolled應用程序已安裝共有1100萬用戶。該病毒首先是在Benqu的WUTA攝像機代碼中檢測到的,這是一個照片編輯應用程序。惡意軟件出現在該應用程序的6.3.2.148版中,指示俄羅斯研究人員的報告。他一直在應用程序代碼中保持地毯,直到版本6.3.7.138的輸出。
僅WUTA相機就有一千萬個下載。在卡巴斯基(Kaspersky)的衝動下,開發人員已更新了該應用程序以清除惡意軟件代碼。儘管Google和Kaspersky採取了措施,但通過舊版本安裝的惡意軟件始終在Android設備上存在。
然後將有開發人員WA消息恢復WAMR的Max瀏覽器,WAMR是移動設備的Web瀏覽器。在Google刪除該應用程序之前,它在平台上積累了100萬個下載。同樣,我們可能會擔心在刪除該應用程序之前始終在受感染的電話上刪除該病毒。請注意,法國是受NECRO影響的國家之一。然而,在結合最多感染的國家中,俄羅斯,巴西和越南至關重要。
攻擊核心的惡意廣告SDK
為了在沒有開發人員的情況下輸入應用程序,NECRO已滑入廣告SDK(或軟件開發廣告套件),這是一套工具和庫,開發人員將其集成到他們的應用程序中顯示廣告。
SDK稱為Coral SDK,已乘以隱藏其真正意圖的策略。手術起源的網絡犯罪分子尤其具有遮蓋了代碼SDK。這種做法是為了使軟件守則難以理解或分析安全專家或防病毒軟件。黑暗通過使其比必要的更複雜來隱藏了惡意程序的真實本質。
另外,海盜使用圖像天賦。他們確實以png格式的圖像中隱藏了說明。從表面上看,這些圖像看起來很正常,但實際上包含SDK必須執行的惡意指令。卡巴斯基指出,這是“一種非常罕見的移動惡意軟件技術”。通過這種方式,Necro能夠欺騙開發人員的警惕,並最終在合法應用程序中進入Play商店。
無形的廣告和欺詐性訂閱
一旦安裝在用戶智能手機上,Necro謹慎下載一批惡意軟件。惡意軟件首先安裝了能夠顯示無形廣告的廣告軟件,而無需用戶意識到。這使網絡犯罪分子可以產生欺詐性廣告收入。它還添加了專門設計的工具,以促進訂閱欺詐。這些工具確保用戶未經他同意就可以在付費服務中註冊。他們可以模擬按鈕上的單擊或在後台自動填寫訂閱表。然後,受害人發現自己被迫解決他未訂閱的訂閱。
最後,NECRO可以將受感染的設備轉化為代理。換句話說,惡意軟件將使用您的智能手機作為中介機構運輸惡意交通,在不知情的情況下,就像攻擊或非法通信一樣。
Google Play商店第一次透露了惡意的Android應用程序。儘管Google做出了努力,但仍有應用程序隱藏了商店中的惡意軟件。幾個月前,研究人員發現了幾種類型的惡意軟件,從強大的Anatsa病毒開始在Play商店分發的90多個應用程序中。
這就是為什麼建議您不要從未知來源下載應用程序並仔細諮詢上游的所有評論的原因。通常,評論使檢測欺騙是可能。但是,如果用戶無法做到逃脫NECRO ...作為這次攻擊的一部分,用戶必須採取措施:
“如果您已經安裝了上述的Google Play應用程序之一,並且被感染了版本,請將應用程序更新為已刪除或刪除惡意代碼的版本。”
您玩商店玩的人
正如卡巴斯基指出的那樣,惡意軟件也正在擴散您玩商店玩的人。安全研究人員在非正式場所提供的APK中發現了該病毒。他特別隱藏在WhatsApp,Spotify或Minecraft的修改版本中。
這就是原因“由於特洛伊木馬還滲透了通過非官方來源分發的流行應用程序的修改版本,因此受感染設備的實際數量可能要高得多”,強調了卡巴斯基的報告。正是由於Spotify的惡意版本,卡巴斯基在修改後的應用程序上發現了Necro的存在,後來在Play商店中發現了Necro。
來源 : 卡巴斯基
