Come il trojan Necro ha attaccato 11 milioni di utenti Android

Il rischio riguarda gli utenti delle versioni modificate di Spotify, WhatsApp, Minecraft e altre app di Google Play.

Noi di Kaspersky Daily esortiamo sempre i lettori del nostro blog a prestare la massima attenzione quando scaricano contenuti sui propri dispositivi. Dopotutto, nemmeno Google Play è immune ai malware, per non parlare di tutte le fonti non ufficiali che offrono mod e versioni compromesse. Finché la ruota del mondo digitale continuerà a girare, i trojan continueranno a penetrare in dispositivi sprovvisti di una protezione affidabile

Oggi raccontiamo come 11 milioni di utenti Android in tutto il mondo siano stati vittima del trojan Necro. Continua a leggere per scoprire in quali app l’abbiamo trovato e cosa fare per proteggerti.

Cos’è Necro

I lettori abituali potrebbero ricordarsi di quando abbiamo scritto di Necro per la prima volta nel 2019. All’epoca i nostri esperti avevano scoperto un trojan in CamScanner, un’app di riconoscimento del testo che vantava oltre 100 milioni di download su Google Play. Oggi i “negromanti” hanno iniettato nuova linfa nel vecchio trojan: abbiamo infatti trovato una versione più ricca di funzioni sia nelle app popolari su Google Play che in varie mod su siti non ufficiali. Molto probabilmente gli sviluppatori di queste app hanno usato uno strumento di integrazione degli annunci pubblicitari non verificato grazie al quale Necro si è infiltrato nel codice.

Il Necro di oggi è un loader offuscato per aggirare il rilevamento (la qual cosa non ci ha impedito di trovarlo). Il loader scarica il contenuto dannoso in modo altrettanto scaltro, ovvero tramite steganografia, per nascondere il codice in un’immagine apparentemente innocua.

Il contenuto dannoso è in grado di caricare ed eseguire qualsiasi file DEX (codice compilato per Android), installare le app scaricate, eseguire il tunneling del dispositivo della vittima e, persino, arrivare a sottoscrivere di nascosto abbonamenti a pagamento. Inoltre, può visualizzare e interagire con gli annunci pubblicitari in finestre invisibili, nonché aprire collegamenti arbitrari ed eseguire qualsiasi codice JavaScript.

Per ulteriori informazioni su come è fatto e funziona Necro, consulta il nostro blog Securelist.

Dove si nasconde Necro

Tracce del malware sono state trovate in una mod di Spotify, nell’app di fotoritocco Wuta Camera, in Max Browser e in mod per WhatsApp e giochi molto noti (incluso Minecraft).

In una mod di Spotify

Proprio all’inizio della nostra indagine, la nostra attenzione è stata attirata da una modifica insolita dell’app Spotify Plus. Gli utenti venivano invogliati a scaricare una nuova versione della loro app preferita da una fonte non ufficiale, gratuita e con un abbonamento sbloccato che offriva ascolto illimitato, sia online che offline. Il bel pulsante verde Scarica Spotify MOD APK è davvero allettante, non trovi? Fermo! È un malware. Non lasciarti fuorviare dalle garanzie Security Verified e Official Certification: questa app scatenerà il caos.

Orrore! Tutte le versioni sono visualizzabili. Necro o altri trojan potrebbero nascondersi anche lì?

Orrore! Tutte le versioni sono visualizzabili. Necro o altri trojan potrebbero nascondersi anche lì?

Quando questa app è entrata in circolazione, il trojan ha iniziato a inviare informazioni sul dispositivo infetto al server C2 degli autori degli attacchi, ricevendo in risposta un collegamento per scaricare un’immagine PNG. Il contenuto dannoso era nascosto in questa immagine grazie alla steganografia.

Nelle app su Google Play

Se da un lato la mod di Spotify era distribuita attraverso canali non ufficiali, l’app Wuta Camera infettata da Necro è riuscita ad arrivare su Google Play per essere poi scaricata oltre 10 milioni di volte. Secondo i nostri dati, il loader Necro è penetrato nella versione 6.3.2.148 di Wuta Camera, mentre le versioni ripulite partono dalla 6.3.7.138. Pertanto, se la tua versione è precedente, devi eseguire immediatamente l’aggiornamento.

L'impressionante numero di download e le valutazioni positive hanno fatto da scudo a un trojan

L’impressionante numero di download e le valutazioni positive hanno fatto da scudo a un trojan

Il pubblico di Max Browser è molto più ristretto: solo un milione di utenti. Necro si è infiltrato nel codice della versione 1.2.0. L’app è stata rimossa da Google Play in seguito alla nostra notifica, ma è ancora disponibile su risorse di terze parti. Queste, ovviamente, devono essere considerate ancora meno attendibili, poiché potrebbero a tutt’oggi ospitare le versioni trojan del browser.

Nelle mod per WhatsApp, Minecraft e altre app popolari

I client di messaggistica alternativi vantano solitamente più funzionalità rispetto alle controparti ufficiali. Tuttavia, dovresti sempre considerare tutte le mod, su Google Play o su un sito di terze parti, come sospette, poiché spesso sono accompagnate da trojan.

Ad esempio, abbiamo trovato mod per WhatsApp affette dal loader Necro distribuite da fonti non ufficiali, e così anche mod per Minecraft, Stumble Guys, Car Parking Multiplayer e Melon Sandbox. Questa selezione non è di certo casuale: gli autori degli attacchi prendono sempre di mira i giochi e le app più popolari.

Come proteggersi da Necro

Prima di tutto, sconsigliamo vivamente di scaricare app da fonti non ufficiali perché il rischio di infezione del dispositivo è estremamente elevato. In secondo luogo, le app su Google Play e altre piattaforme ufficiali vanno trattate anch’esse con una sana dose di scetticismo. Persino un’app popolare come Wuta Camera, con 10 milioni di download, si è rivelata impotente di fronte a Necro.

  • Assicurati di proteggere i tuoi dispositivi per non farti cogliere alla sprovvista da un trojan. Kaspersky per Android rileva Necro e altri malware simili.
  • Controlla la pagina dell’app nello store prima di scaricare. È particolarmente consigliabile esaminare le recensioni con valutazioni basse, poiché spesso segnalano potenziali insidie. Le recensioni entusiastiche potrebbero essere false, e un punteggio complessivo elevato è facile da gonfiare.
  • Non andare in cerca di mod o versioni compromesse. Simili app sono quasi sempre infarcite di ogni tipo di trojan: dai più innocui allo spyware mobile come CanesSpy.
Consigli