2024年8月底,卡巴斯基专家发现了一种新版本的Necro木马,该木马已渗透到 Google Play 上的多个流行应用程序,并修改了非官方平台上的应用程序,包括 Spotify、WhatsApp 和 Minecraft。Necro是一种安卓下载器,它根据木马作者发出的命令,在受感染的设备上下载并运行其他恶意组件。卡巴斯基的解决方案记录了此次恶意活动中Necro对俄罗斯、巴西、越南、厄瓜多尔和墨西哥用户的攻击。
2024年8月底,卡巴斯基专家发现了一种新版本的Necro木马,该木马已渗透到 Google Play 上的多个流行应用程序,并修改了非官方平台上的应用程序,包括 Spotify、WhatsApp 和 Minecraft。Necro是一种安卓下载器,它根据木马作者发出的命令,在受感染的设备上下载并运行其他恶意组件。卡巴斯基的解决方案记录了*此次恶意活动中Necro对俄罗斯、巴西、越南、厄瓜多尔和墨西哥用户的攻击。
Necro木马的功能
卡巴斯基专家发现的Necro变种能够在受感染的智能手机上下载模块,这些模块可以在不可见的窗口中显示广告并点击它们,下载可执行文件,安装第三方应用程序,并在不可见的WebView窗口中打开任意链接以执行JavaScript代码。根据其技术特征,该木马还可能能够让用户订购付费服务。此外,下载的模块允许攻击者通过受害者的设备重定向互联网流量。这样,网络犯罪分子就可以使用受害者的设备访问被禁止的或所需的资源,并有可能将其用作代理僵尸网络的一部分。
非官方平台上被感染的应用
卡巴斯基专家首次发现Necro是在Spotify Plus的修改版本中。该应用程序的作者声称它对设备是安全的,并提供了官方音乐流媒体应用中没有的额外功能。随后,专家们还发现了一个包含Necro下载器的WhatsApp修改版本,接着是包括Minecraft、Stumble Guys和Car Parking Multiplayer在内的流行游戏的受感染版本。Necro 是通过一个未经验证的广告模块嵌入这些应用程序的。Google Play上受感染的应用
Necro活动不仅限于第三方平台,还出现在Google Play上。恶意下载器在Wuta Camera应用和Max Browser中被发现。根据Google Play的统计数据,这些应用的累计下载量超过1100万。在这个平台上,Necro也是通过一个未经验证的广告模块分发的。在卡巴斯基实验室向谷歌报告后,Wuta Camera中的恶意代码被移除,Max Browser也从商店中下架。然而,用户在非官方平台上仍有可能遇到Necro。
“用户们经常下载非官方的修改版应用,以绕过官方应用中的限制或获取额外的免费功能。网络犯罪分子利用这种行为,通过这些应用传播恶意软件,因为第三方平台上没有审核机制,”卡巴斯基网络安全专家Dmitry Kalinin评论说:“另外值得注意的是,这些应用程序中嵌入的Necro版本使用了隐写技术,将其有效载荷隐藏在图像中以避免被检测到,这在移动恶意软件中是一种非常罕见的方法。”卡巴斯基安全解决方案能够防御Necro,并将下载器检测为Trojan-Downloader.AndroidOS.Necro.f和Trojan-Downloader.AndroidOS.Necro.h,恶意组件则被识别为Trojan.AndroidOS.Necro。
更多有感Necro木马的详情,请参阅Securelist.com.
为了防范此类威胁以及其他安卓网络威胁,卡巴斯基专家建议:
· 仅从官方来源下载应用;
· 定期更新操作系统和所安装的应用程序;
· 使用由可信赖制造商提供的可靠安全解决方案,其产品经过独立测试实验室验证,例如卡巴斯基高级版。
**数据基于卡巴斯基解决方案在2024年8月26日至9月15日期间的匿名统计。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.