نسخهی جدیدی از بدافزار Necro توانسته با پنهان شدن در زنجیرهای از کیتهای توسعهی نرمافزار (SDK) مورد استفادهی سازندگان اپلیکیشن و بازی، بر روی بیش از ۱۱ میلیون دستگاه اندرویدی نصب شود. بدتر اینکه این بدافزار از طریق فروشگاه رسمی Google Play منتشر شده است.
این بدافزار از طریق SDKهای مورد استفاده برای نمایش تبلیغات در اپلیکیشنهای معتبر، نسخههای تغییر یافتهی بازیهای اندرویدی و نرمافزارهای محبوبی همچون اسپاتیفای، واتساپ و ماینکرفت توزیع شده است.
کشف بدافزار Necro در Google Play
برای شناخت بهتر این نسخهی جدید از بدافزار Necro، بهتر است بدانید چندین کد مخرب را بر روی دستگاههای آلوده نصب کرده و افزونههای مخربی را فعال میکند. بدافزار Necro در تمامی این موارد به یک شکل عمل میکند: نمایش تبلیغات در پسزمینه برای تولید درآمد کلاهبردارانه، نصب برنامهها و APKها بدون رضایت کاربر و استفاده از WebViewهای نامرئی برای تعامل با خدمات پولی!
براساس گزارش شرکت امنیتی کسپرسکی، نسخهی جدید این بدافزار در دو اپلیکیشن موجود در Google Play شناسایی شده است که هر دو دارای تعداد زیادی کاربر بودند.
اولین اپلیکیشن، Wuta Camera از شرکت Benqu است؛ ابزاری برای ویرایش و زیباسازی عکس که بیش از ۱۰ میلیون بار از Google Play دانلود شده است. تحلیلگران امنیتی اعلام کردهاند که بدافزار Necro در نسخهی 6.3.2.148 این اپلیکیشن وجود داشت و تا نسخهی 6.3.6.148 باقی ماند. پس از گزارش کسپرسکی، گوگل در نسخهی 6.3.7.138 این تروجان را حذف کرد، اما هرگونه بدافزاری که در نسخههای قبلی نصب شده باشد، همچنان ممکن است در دستگاههای اندرویدی کاربران وجود داشته باشد.
اپلیکیشن دیگری که به Necro آلوده شده، Max Browser با بیش از یک میلیون بار دانلود بود که پس از گزارش کسپرسکی از Google Play حذف شد. آخرین نسخهی این اپلیکیشن (1.2.0) همچنان حاوی بدافزار Necro است و به کاربران توصیه میشود آن را فوراً حذف و از مرورگر دیگری استفاده کنند.
استفاده از SDK مخرب
کسپرسکی اعلام کرده که هر دو اپلیکیشن به واسطهی یک SDK تبلیغاتی به نام Coral SDK آلوده شدهاند. این SDK با استفاده از تکنیکهای مبهمسازی، فعالیتهای مخرب خود را پنهان کرده و از استگانوگرافی تصاویر برای دانلود payload مرحلهی دوم با نام shellPlugin استفاده میکند که در قالب تصاویر PNG بیضرر جا پنهان شده است.
علاوه بر Google Play، بدافزار Necro از طریق نسخههای mod شدهی اپلیکیشنهای محبوب که از وبسایتهای غیررسمی توزیع میشوند، نیز منتشر شده است. کسپرسکی گزارش کرده است که نسخههای تغییر یافتهی واتساپ مانند GBWhatsApp و FMWhatsApp که وعدهی کنترل بهتر حریم خصوصی و افزایش محدودیتهای اشتراکگذاری فایل را میدهند، به این بدافزار آلوده شدهاند. همچنین نسخهای از اسپاتیفای به نام Spotify Plus که دسترسی رایگان به خدمات پرمیوم بدون تبلیغات را ارائه میدهد، نیز حاوی این بدافزار است.
هرچند وبسایتهای غیررسمی اندرویدی بهطور دقیق تعداد دانلودها را گزارش نمیدهند، اما برآورد میشود که در موج اخیر بدافزار Necro، حداقل ۱۱ میلیون دستگاه از طریق Google Play آلوده شده باشند.