Android-троян Necro заразил 11 миллионов устройств через Google Play
В сентябре 2024 года был выявлен новый виток распространения опасного трояна Necro, который затронул более 11 миллионов устройств через официальные приложения в Google Play. Этот инцидент стал одним из самых масштабных атак на мобильные устройства на платформе Android за последние годы, подчеркивая уязвимости даже в официальных магазинах приложений.
Как Necro попал в Google Play?
Троян Necro был внедрен в популярные приложения через цепочку поставок программного обеспечения, что позволило ему проникнуть в легитимные приложения, такие как Wuta Camera и Max Browser. Оба этих приложения суммарно были загружены более 11 миллионов раз.
Основной механизм заражения заключался в использовании вредоносного рекламного SDK под названием Coral SDK, который был интегрирован в приложения для отображения рекламы. Однако помимо легитимных рекламных функций, этот SDK также включал в себя модули для загрузки вредоносных компонентов, маскируясь под безобидные изображения через технику стеганографии. Это позволяло трояну загружать дополнительные модули на устройства без ведома пользователя.
Какие приложения были заражены?
Согласно отчетам, два приложения на Google Play оказались основными источниками заражений:
- Wuta Camera — популярное приложение для редактирования фотографий, загруженное более 10 миллионов раз. Заражение началось с версии 6.3.2.148 и продолжалось до 6.3.6.148, после чего приложение было обновлено. Пользователям рекомендуется обновить приложение до версии 6.3.7.138.
- Max Browser — менее популярное приложение с более чем миллионом загрузок. Однако его последняя версия (1.2.0) до сих пор содержит вредоносный код, и пользователям рекомендуется немедленно удалить приложение.
Кроме того, троян Necro распространялся через модифицированные версии популярных приложений, доступных на сторонних сайтах, таких как:
- Spotify Plus — модификация приложения для получения премиум-функций бесплатно.
- GBWhatsApp и FMWhatsApp — модифицированные версии мессенджера WhatsApp с дополнительными функциями конфиденциальности.
- Моды для игр Minecraft, Stumble Guys и Car Parking Multiplayer.
Функции и опасности Necro
Троян Necro обладает множеством вредоносных функций, которые делают его крайне опасным для пользователей:
- Показ рекламы через невидимые окна WebView для генерации мошеннической прибыли.
- Загрузка и выполнение произвольных JavaScript и DEX файлов.
- Использование устройств как прокси для маршрутизации вредоносного трафика.
- Подписка пользователей на платные услуги без их ведома.
- Установка сторонних приложений и APK без разрешения пользователя.
Как защититься от Necro и подобных угроз?
Эксперты по безопасности рекомендуют несколько мер для защиты своих устройств от заражения:
- Всегда загружайте приложения только из проверенных источников, таких как Google Play, но будьте внимательны даже при скачивании с официальных магазинов. Проверьте количество скачиваний, отзывы и рейтинги перед установкой.
- Избегайте загрузки модифицированных версий приложений с неофициальных сайтов, так как они часто содержат вредоносное ПО.
- Регулярно обновляйте установленные приложения, чтобы получать последние исправления безопасности.
- Используйте антивирусные решения, такие как Google Play Protect или специализированные антивирусы для Android, например, Kaspersky для Android.
Хотя Google уже удалил зараженные версии приложений из Google Play, остается риск для тех, кто скачал их до удаления. Пользователи должны немедленно проверить свои устройства и удалить зараженные приложения, если они были установлены.
Вывод
Случай с трояном Necro еще раз подчеркивает важность внимательного отношения к безопасности на мобильных устройствах. Даже легитимные приложения в официальных магазинах могут стать источником заражения из-за проблем в цепочке поставок или использования небезопасных SDK. Пользователи Android должны быть предельно осторожными при установке приложений и постоянно обновлять свои устройства для защиты от новых угроз.
Источники информации: