Kötü amaçlı SDK tedarik zinciri saldırılarında Google Play aracılığıyla 11 milyon cihaza Android için Necro Malware Yükleyici'nin yeni bir sürümü kuruldu.
Necro Trojan'ın bu yeni sürümü, meşru uygulamalar, Android oyun modları ve Spotify, WhatsApp ve Minecraft gibi popüler yazılımların değiştirilmiş sürümleri tarafından kullanılan kötü amaçlı reklam yazılım geliştirme kitleri (SDK) aracılığıyla yüklendi.
Necro, enfekte cihazlara birkaç yük yükler ve aşağıdakileri içeren çeşitli kötü amaçlı eklentileri etkinleştirir:
Kaspersky, her ikisi de önemli bir kullanıcı tabanı olan Google Play'de iki uygulamada Necro Loader'ın varlığını keşfetti.
Birincisi, Google Play'de 10.000.000'den fazla indirme içeren bir fotoğraf düzenleme ve güzelleştirme aracı olan 'Benque' tarafından Wuta Camera.
Tehdit analistleri, NECRO'nun 6.3.2.148 sürümünün yayınlanmasıyla uygulamada ortaya çıktığını ve Kaspersky'nin Google'ı bildirdiği 6.3.6.148 sürümüne kadar gömülü kaldığını bildirdi.
Truva atı sürüm 6.3.7.138'de kaldırılırken, eski sürümler aracılığıyla yüklenmiş olabilecek herhangi bir yük hala Android cihazlarda gizlenebilir.
NECRO'yu taşıyan ikinci meşru uygulama, Kaspersky'nin raporunu takiben Google Play'de 1 milyon indirme yapmış olan 'WA Mesaj Kurtarma Wamr' ile Max Tarayıcı.
Kaspersky, Max tarayıcısının en son sürümü 1.2.0'ın hala NECRO'yu taşıdığını iddia ediyor, bu nedenle yükseltmek için temiz bir sürüm yok ve Web tarayıcısının kullanıcılarının hemen kaldırılması ve farklı bir tarayıcıya geçmesi öneriliyor.
Kaspersky, iki uygulamanın, kötü niyetli faaliyetlerini gizlemek için gizleme kullanan 'Coral SDK' adlı bir reklam SDK ile enfekte olduğunu ve ayrıca zararsız PNG görüntüleri olarak gizlenmiş ikinci aşama yükü, ShellPlugin'i indirmek için görüntü steganografisini kullandığını söyledi.
Google, BleepingComputer'a bildirilen uygulamaların farkında olduklarını ve araştırdıklarını söyledi.
Oyun mağazasının dışında, Necro Trojan öncelikle resmi olmayan web siteleri aracılığıyla dağıtılan popüler uygulamaların (MODS) değiştirilmiş sürümleri aracılığıyla yayılmaktadır.
Kaspersky tarafından tespit edilen önemli örnekler arasında daha iyi gizlilik kontrolleri ve genişletilmiş dosya paylaşım sınırları vaat eden WhatsApp Mods 'GBWHATSAPP' ve 'FMWHATSAPP' bulunur. Bir diğeri, reklamsız premium hizmetlere serbest erişim vaat eden Spotify Mod, 'Spotify Plus'.
Raporda ayrıca, Necro Loader ile enfekte olan Stumble Guys, Otopark Çok Oyuncusu ve Kavun Sandbox gibi diğer popüler oyunlar için Minecraft Modları ve Modlarından bahsediyor.
Her durumda, kötü niyetli davranış aynıydı - saldırganlar için hileli gelir elde etmek, kullanıcının rızası olmadan uygulamalar ve APK'lar yüklemek ve ücretli hizmetlerle etkileşim kurmak için görünmez web görünümlerini kullanmak için arka planda reklamlar.
Resmi olmayan Android yazılım web siteleri indirme numaralarını güvenilir bir şekilde bildirmediğinden, bu son Necro Truva Dalgası'nın toplam enfeksiyon sayısı bilinmiyor, ancak Google Play'den en az 11 milyon.
Google, BleepingComputer'a aşağıdaki yorumu gönderdi:
"Bu raporla tanımlanan uygulamaların tüm kötü amaçlı sürümleri, rapor yayınlanmadan önce Google Play'den kaldırıldı. Android kullanıcıları, Google Play ile Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımların bilinen sürümlerine karşı otomatik olarak korunuyor. Google Play Protect. - Bir Google Sözcüsü
Android Spyware 'Mandrake' 2022'den beri Google Play'deki uygulamalarda gizli
Yeni VO1D kötü amaçlı yazılım 1,3 milyon Android akış kutusuna bulaştı
Google Backports Pixel EOP kusurunu diğer Android cihazlara düzeltme
Bilgisayar korsanları PWA uygulamaları aracılığıyla iOS, Android kullanıcılarından bankacılık kredileri çalıyor
Chrome, Android ekranını paylaştığınızda kredi kartlarını, şifreleri düzeltecektir.
Kaynak: Bleeping Computer