卡巴斯基在 Google Play 商店中發現了 Necro 惡意軟體的新版本。它隱藏在兩個合法的 Android 應用程式中,感染了全球超過 1,100 萬用戶。該病毒使用複雜的技術來隱藏其詐騙活動。
卡巴斯基在 Google Play 商店中發現了已知惡意軟體的新版本。該病毒名為 Necro,是「載入程式」之一。這是旨在滲透系統的惡意軟體載入其他惡意軟體。該病毒在 2019 年已因感染超過 1 億部 Android 智慧型手機而聲名大噪。
為了進入受害者的智慧型手機,該病毒也將自己呈現為特洛伊木馬,或英語中的“特洛伊木馬”。簡而言之,該惡意軟體將自己偽裝成無害的應用程序,以欺騙網路使用者。在本例中,Necro 隱藏在兩個 Play 商店應用程式的程式碼中。
Play 商店下載量達 1,100 萬次
正如卡巴斯基所指出的那樣,這兩個受感染的應用程式是由共有1100萬用戶。該病毒首先在 Benqu 的無他相機(一個照片編輯應用程式)的程式碼中檢測到。俄羅斯研究人員的報告稱,該惡意軟體出現在該應用程式的 6.3.2.148 版本中。它一直隱藏在應用程式程式碼中,直到版本 6.3.7.138 發布。
光是無他相機就有千萬次下載。在卡巴斯基的敦促下,開發人員更新了應用程式以清除惡意軟體程式碼。儘管谷歌和卡巴斯基採取了措施,但透過舊版安裝的惡意軟體仍然可能存在於 Android 裝置上。
然後我們從開發者WA訊息recover-wamr找到Max Browser,這是一款針對行動裝置的網頁瀏覽器。在谷歌刪除該應用程式之前,該應用程式在該平台上的下載量已累計達到一百萬次。同樣,刪除應用程式之前安裝的病毒可能仍然存在於受感染的手機上。請注意,法國是受Necro影響的國家之一。然而,俄羅斯、巴西和越南是感染最多的國家。
惡意廣告 SDK 是攻擊的核心
為了在開發人員不知情的情況下滲透應用程序,Necro 潛入了廣告 SDK(或廣告軟體開發套件),開發人員將其整合到應用程式中的一組工具和庫展示廣告。
該 SDK 名為 Coral SDK,採用多種策略來隱藏其真實意圖。此次行動背後的網路犯罪分子尤其混淆了程式碼SDK 的。這種做法會讓安全或防毒專家難以理解或分析軟體程式碼。混淆使惡意軟體變得比必要的更加複雜,從而隱藏了惡意軟體的真實本質。
此外,駭客也利用影像隱寫術。事實上,他們在 PNG 格式的圖片中隱藏了說明。這些影像表面上看起來很正常,但實際上包含了SDK執行的惡意指令。卡巴斯基指出,這是「一種非常罕見的行動惡意軟體技術」。這就是 Necro 能夠欺騙開發者的警覺性並最終以合法應用程式的形式出現在 Play 商店中的原因。
隱形廣告和欺詐性訂閱
一旦安裝在用戶的智慧型手機上,Necro 就會謹慎地下載一系列惡意軟體。該惡意軟體首先安裝廣告軟體,該廣告軟體可以在用戶意識到的情況下顯示隱形廣告。這使得網路犯罪分子能夠產生欺詐性廣告收入。它還添加了專門為促進訂閱詐欺而設計的工具。這些工具可確保用戶在未經用戶同意的情況下註冊付費服務。他們可以模擬按鈕點擊或在後台自動填寫訂閱表格。然後,受害者發現自己有義務為他未訂閱的訂閱付費。
最後,Necro 可以將受感染的設備變成代理。換句話說,惡意軟體將使用您的智慧型手機作為中介來傳輸惡意流量,例如在您不知情的情況下進行攻擊或非法通訊。
這並不是 Google Play 商店第一次允許惡意 Android 應用程式通過。儘管谷歌做出了努力,我們仍然經常在商店中發現隱藏惡意軟體的應用程式。幾個月前,研究人員發現了幾種類型的惡意軟體,從可怕的阿納察病毒開始,在 Play 商店中分發的 90 多個應用程式中。
這就是為什麼我們建議您不要從未知來源下載應用程序,並事先仔細查閱所有評論。很多時候,評論可以讓你發現欺騙行為。然而,在這種情況下,用戶無法採取太多措施來逃脫 Necro...但是,在這種攻擊中,用戶必須採取以下步驟:
“如果您安裝了上述任何 Google Play 應用程式並且該版本已被感染,請將應用程式更新到已刪除惡意程式碼的版本或將其刪除。”
Play 商店的祝福
正如卡巴斯基所指出的那樣,惡意軟體也會傳播Play 商店的廣告。安全研究人員在非官方網站提供的 APK 中發現了病毒。它特別隱藏在 WhatsApp、Spotify 或 Minecraft 修改版的程式碼中。
這就是為什麼“鑑於該木馬還滲透到通過非官方來源分發的流行應用程式的修改版本,因此受感染設備的實際數量可能要高得多”,強調了卡巴斯基報告。正是由於 Spotify 的惡意版本,卡巴斯基才在修改後的應用程式以及後來的 Play 商店中發現了 Necro 的存在。
來源 : 卡巴斯基
