Google Play faciliteerde wederom onbedoeld een grote malwarecampagne. Een trojan genaamd Necro is terug van weggeweest.
Kaspersky ontdekte de Necro-trojan in 2019 binnen een app bedoeld voor het scannen van documenten. Nu is deze malware opnieuw door de Russische cybersecurityfirma gedetecteerd. Aangepaste versies van populaire apps als Spotify en Minecraft waren geïnfecteerd door Necro. “Mods” van dergelijke Android-apps leken een legitieme aanpassing van de software, maar bevatte onzichtbare advertenties als payload voor malware.
Ongezien
De loader van de Necro-malware verricht heimelijk zijn werk. Door een steganografisch algoritme is een gedownloade afbeelding op het eerste gezicht onschadelijk, maar onderhuids zit code verborgen dat door Android-tools wordt uitgevoerd zodra de pixelwaarden worden geladen. In dit geval kozen de aanvallers achter de Necro-trojan ervoor om de kleur blauw te vergiftigen met deze code.
Deze kwaadaardige methodiek zat verborgen in de zogeheten Coral SDK. Deze softwaremodule lanceert vanuit adsrun, een software development kit voor het integreren van advertenties. Omdat gebruikers de geïnfecteerde apps via ongemodereerde websites downloaden, valt het buiten de moderatie van Google. Echter hebben ook goedgekeurde apps binnen Google Play de SDK gebruikt, waardoor zeker is dat ten minste 11 miljoen apparaten de malware bevatten. Het werkelijke getal ligt hoger, maar dit is niet in te schatten wegens de third-party bronnen waarvandaan de apps zijn gedownload.
Mogelijkheden
Necro kan na installatie op verschillende manieren voor schade zorgen. Zo is het in staat nieuwe onzichtbare vensters te creëren voor andere payloads, kan het DEX-bestanden downloaden en JavaScript-code draaien binnen WebView-browsers. Kaspersky legt uit dat dit ervoor kan zorgen dat gebruikers nietsvermoedend abonnees worden van betaalde diensten.
De Google Play-apps waarbij Kaspersky de aanwezigheid van de Necro-malware constateerde, zijn van de appwinkel verwijderd. Het gaat om de camera-app Wuta en de Max Browser, dat zichzelf omschrijft als een app gericht op privacy en security.
De nieuwe vorm van Necro laat volgens Kaspersky zien dat het een breed inzetbare malware-tool is. In tegenstelling tot de ontdekte variant in 2019 gaat het om malware met een niet-modulaire architectuur. De onderzoekers van Kaspersky suggereren dat de variëteit aan Necro-malware de introductie van nieuwe features eenvoudiger maakt. Immer kan de loader verschillende varianten laden.
De slachtoffers bevinden zich voornamelijk in Rusland en Brazilië, maar de verspreiding is wereldwijd. Spanje, Italië en Duitsland zijn de hardst getroffen Europese landen, blijkt uit de Kaspersky-statistieken.
Lees ook: BingoMod-malware neemt controle over van Android-devices