Ciberseguridad 360 | 11 millones de dispositivos Android infectados por el malware Necro distribuido desde Google Play

Una nueva versi�n del troyano malicioso Necro para Android se instal� en 11 millones de dispositivos a trav�s de Google Play en ataques maliciosos a la cadena de suministro de SDK.

Esta nueva versi�n del troyano Necro se instal� a trav�s de kits de desarrollo de software (SDK) publicitarios maliciosos utilizados por apps leg�timas, mods de juegos para Android y versiones modificadas de software popular, como Spotify, WhatsApp y Minecraft.

Necro instala varias cargas �tiles en los dispositivos infectados y activa varios plugins maliciosos, entre ellos:

Adware que carga enlaces a trav�s de ventanas WebView invisibles (Island plugin, Cube SDK)
M�dulos que descargan y ejecutan archivos JavaScript y DEX arbitrarios (Happy SDK, Jar SDK)
Herramientas dise�adas espec�ficamente para facilitar el fraude de suscripci�n (Web plugin, Happy SDK, Tap plugin)
Mecanismos que utilizan dispositivos infectados como proxies para enrutar tr�fico malicioso (plugin NProxy)

Troyano Necro en Google Play

Kaspersky ha descubierto la presencia del cargador Necro en dos aplicaciones de Google Play, ambas con una base de usuarios considerable.

La primera es Wuta Camera de 'Benqu', una herramienta de edici�n y embellecimiento de fotos con m�s de 10.000.000 de descargas en Google Play.

La aplicaci�n Wuta Camera en Google Play

Los analistas de amenazas informan de que Necro apareci� en la aplicaci�n con el lanzamiento de la versi�n 6.3.2.148, y permaneci� incrustado hasta la versi�n 6.3.6.148, que es cuando Kaspersky notific� a Google.

Aunque el troyano se elimin� en la versi�n 6.3.7.138, cualquier carga �til que pudiera haberse instalado a trav�s de las versiones anteriores a�n podr�a estar al acecho en los dispositivos Android.

La segunda aplicaci�n leg�tima que portaba Necro es Max Browser de 'WA message recover-wamr,' que ten�a 1 mill�n de descargas en Google Play hasta que fue eliminada, tras el informe de Kaspersky.

Kaspersky afirma que la �ltima versi�n de Max Browser, 1.2.0, sigue siendo portadora de Necro, por lo que no hay ninguna versi�n limpia disponible para actualizar, y se recomienda a los usuarios del navegador web que lo desinstalen inmediatamente y cambien a otro navegador.

Kaspersky dice que las dos aplicaciones fueron infectadas por un SDK publicitario llamado 'Coral SDK', que empleaba ofuscaci�n para ocultar sus actividades maliciosas y tambi�n esteganograf�a de im�genes para descargar la carga �til de segunda etapa, shellPlugin, disfrazada de im�genes PNG inofensivas.

Diagrama de infecci�n de Necro

Fuente: Kaspersky

Google dijo que estaban al tanto de las aplicaciones denunciadas y que las estaban investigando.

Fuera de las fuentes oficiales

Fuera de la Play Store, el troyano Necro se propaga principalmente a trav�s de versiones modificadas de aplicaciones populares (mods) que se distribuyen a trav�s de sitios web no oficiales.

Algunos ejemplos destacados detectados por Kaspersky son los mods de WhatsApp �GBWhatsApp� y �FMWhatsApp�, que prometen mejores controles de privacidad y mayores l�mites para compartir archivos. Otro es el mod de Spotify, �Spotify Plus�, que promete acceso gratuito a servicios premium sin publicidad.

Un sitio web difunde un mod malicioso de Spotify

Fuente: Kaspersky

El informe tambi�n menciona mods de Minecraft y de otros juegos populares como Stumble Guys, Car Parking Multiplayer y Melon Sandbox, que fueron infectados con el cargador Necro.

En todos los casos, el comportamiento malicioso era el mismo: mostrar anuncios en segundo plano para generar ingresos fraudulentos para los atacantes, instalar aplicaciones y APK sin el consentimiento del usuario y utilizar WebViews invisibles para interactuar con servicios de pago.

Dado que los sitios web no oficiales de software para Android no informan de forma fiable de las cifras de descargas, se desconoce el n�mero total de infecciones por esta �ltima oleada del troyano Necro, pero es de al menos 11 millones desde Google Play.

Fuente: bleepingcomputer