本文来自嘶吼 RoarTalk(www.4hou.com),作者 | 胡金鱼。
在恶意SDK供应链攻击中,Android版Necro恶意软件加载程序的新版本通过Google Play安装在1100万台设备上。
此新版本的Necro木马通过合法应用程序、Android游戏模组和流行软件如Spotify、WhatsApp和Minecraft的修改版所使用的恶意广告软件开发工具包(SDK)安装。
Necro会在受感染的设备上安装多个有效负载并激活各种恶意插件,包括:
- 通过不可见的WebView窗口加载链接的广告软件(Island插件、Cube SDK)
- 下载并执行任意JavaScript和DEX文件的模块(Happy SDK、Jar SDK)
- 专门用于促进订阅欺诈的工具(Web插件、Happy SDK、Tap插件)
- 使用受感染设备作为代理来路由恶意流量的机制(NProxy插件)
Google Play上的Necro Trojan
卡巴斯基在Google Play上的两款应用中发现了Necro加载程序,这两款应用都拥有大量用户群。
第一个是“Benqu”开发的Wuta Camera,这是一款照片编辑和美化工具,在Google Play上的下载量超过10,000,000次。
Google Play上的“无他相机”应用
威胁分析师报告称,Necro病毒在6.3.2.148版本发布时出现在该应用程序中,并一直嵌入到6.3.6.148版本,也就是卡巴斯基通知谷歌的时候。
虽然该木马在6.3.7.138版本中被删除,但任何可能通过旧版本安装的有效载荷可能仍潜伏在Android设备上。
第二个携带Necro的合法应用程序是“WA message recovery-wamr”的Max Browser,在卡巴斯基报告发布后被移除之前,它在Google Play上的下载量达到100万次。
卡巴斯基声称,Max Browser的最新版本1.2.0仍然携带Necro,因此没有可供升级到的干净版本,建议网络浏览器用户立即卸载它并切换到其他浏览器。
卡巴斯基表示,这两款应用程序都感染了名为“Coral SDK”的广告SDK,该SDK采用混淆技术隐藏其恶意活动,并使用图像隐写术下载伪装成无害PNG图像的第二阶段有效负载shellPlugin。
Necro的感染图
谷歌表示,他们已经知道被举报的应用程序并且正在对其进行调查。
外部官方来源
在Play Store之外,Necro木马主要通过非官方网站分发的流行应用程序的修改版本(mod)进行传播。
卡巴斯基发现的著名例子包括WhatsApp mods“GBWhatsApp”和“FMWhatsApp”,它们承诺提供更好的隐私控制和扩展的文件共享限制。另一个是Spotify mod“Spotify Plus”,它承诺免费访问无广告的高级服务。
传播恶意Spotify mod的网站
报告还提到了Minecraft模组以及其他热门游戏如Stumble Guys、Car Parking Multiplayer和Melon Sandbox的模组,这些模组都感染了Necro加载程序。
在所有情况下,恶意行为都是相同的——在后台显示广告为攻击者创造欺诈性收入、在未经用户同意的情况下安装应用和APK,以及使用不可见的WebView与付费服务进行交互。
由于非官方Android软件网站不提供可靠的下载数量报告,因此此次最新的Necro木马病毒感染总数尚不清楚,但来自Google Play的感染数量至少为1100万。
文章翻译自:https://www.bleepingcomputer.com/news/security/android-malware-necro-infects-11-million-devices-via-google-play/
