卡巴斯基在 Google Play 商店中发现了 Necro 恶意软件的新版本。它隐藏在两个合法的 Android 应用程序中,感染了全球超过 1100 万用户。该病毒使用复杂的技术来隐藏其欺诈活动。
卡巴斯基在 Google Play 商店中发现了已知恶意软件的新版本。该病毒名为 Necro,是“加载程序”之一。这是旨在渗透系统的恶意软件加载其他恶意软件。该病毒在 2019 年已经因感染超过 1 亿部 Android 智能手机而声名大噪。
为了进入受害者的智能手机,该病毒还会将自己呈现为特洛伊木马,或英语中的“特洛伊木马”。简而言之,该恶意软件将自己伪装成无害的应用程序,以欺骗互联网用户。在本例中,Necro 隐藏在两个 Play 商店应用程序的代码中。
Play 商店下载量达 1100 万次
正如卡巴斯基指出的那样,这两个受感染的应用程序是由共有1100万用户。该病毒首先在 Benqu 的无他相机(一款照片编辑应用程序)的代码中检测到。俄罗斯研究人员的报告称,该恶意软件出现在该应用程序的 6.3.2.148 版本中。它一直隐藏在应用程序代码中,直到版本 6.3.7.138 发布。
仅无他相机就有千万次下载。在卡巴斯基的敦促下,开发人员更新了应用程序以清除恶意软件代码。尽管谷歌和卡巴斯基采取了措施,但通过旧版本安装的恶意软件仍然可能存在于 Android 设备上。
然后我们从开发者WA消息recover-wamr中找到Max Browser,这是一款针对移动设备的网络浏览器。在谷歌删除该应用程序之前,该应用程序在该平台上的下载量已累计达到一百万次。同样,删除应用程序之前安装的病毒可能仍然存在于受感染的手机上。请注意,法国是受Necro影响的国家之一。然而,俄罗斯、巴西和越南是感染人数最多的国家。
恶意广告 SDK 是攻击的核心
为了在开发人员不知情的情况下渗透应用程序,Necro 潜入了广告 SDK(或广告软件开发套件),开发人员将其集成到应用程序中的一组工具和库展示广告。
该 SDK 名为 Coral SDK,采用多种策略来隐藏其真实意图。此次行动背后的网络犯罪分子尤其混淆了代码SDK 的。这种做法会让安全或防病毒专家难以理解或分析软件代码。混淆使恶意软件变得比必要的更加复杂,从而隐藏了恶意软件的真实本质。
此外,黑客还利用图像隐写术。事实上,他们在 PNG 格式的图像中隐藏了说明。这些图像表面上看起来很正常,但实际上包含了供SDK执行的恶意指令。卡巴斯基指出,这是“一种非常罕见的移动恶意软件技术”。这就是 Necro 能够欺骗开发者的警惕性并最终以合法应用程序的形式出现在 Play 商店中的原因。
隐形广告和欺诈性订阅
一旦安装在用户的智能手机上,Necro 就会谨慎地下载一系列恶意软件。该恶意软件首先安装广告软件,该广告软件可以在用户没有意识到的情况下显示隐形广告。这使得网络犯罪分子能够产生欺诈性广告收入。它还添加了专门为促进订阅欺诈而设计的工具。这些工具可确保用户在未经用户同意的情况下注册付费服务。他们可以模拟按钮点击或在后台自动填写订阅表格。然后,受害者发现自己有义务为他未订阅的订阅付费。
最后,Necro 可以将受感染的设备变成代理。换句话说,恶意软件将使用您的智能手机作为中介来传输恶意流量,例如在您不知情的情况下进行攻击或非法通信。
这并不是 Google Play 商店第一次允许恶意 Android 应用程序通过。尽管谷歌做出了努力,我们仍然经常在商店中发现隐藏恶意软件的应用程序。几个月前,研究人员发现了几种类型的恶意软件,从可怕的阿纳察病毒开始,在 Play 商店中分发的 90 多个应用程序中。
这就是为什么我们建议您不要从未知来源下载应用程序,并事先仔细查阅所有评论。很多时候,评论可以让你发现欺骗行为。然而,在这种情况下,用户无法采取太多措施来逃脱 Necro...但是,在这种攻击中,用户必须采取以下步骤:
“如果您安装了上述任何 Google Play 应用程序,并且该版本已被感染,请将应用程序更新到已删除恶意代码的版本或将其删除。”
Play 商店的祝福
正如卡巴斯基指出的那样,恶意软件也会传播Play 商店的广告。安全研究人员在非官方网站提供的 APK 中发现了该病毒。它特别隐藏在 WhatsApp、Spotify 或 Minecraft 修改版的代码中。
这就是为什么“鉴于该木马还渗透到通过非官方来源分发的流行应用程序的修改版本,因此受感染设备的实际数量可能要高得多”,强调了卡巴斯基报告。正是由于 Spotify 的恶意版本,卡巴斯基才在修改后的应用程序以及后来的 Play 商店中发现了 Necro 的存在。
来源 : 卡巴斯基
