Kaspersky: il trojan Necro si nasconde in Google Play e conta 11 milioni di vittime

Necro è un downloader Android che scarica ed esegue altri componenti dannosi sui dispositivi infetti in base alle istruzioni inviate dai creatori del trojan.

Autore: Redazione BitCity

Alla fine di agosto 2024, gli esperti di Kaspersky hanno identificato una nuova versione del Trojan Necro che si è infiltrato in diverse applicazioni popolari su Google Play e ha modificato alcune app su piattaforme non ufficiali, tra cui Spotify, WhatsApp e Minecraft. La variante di Necro scoperta dagli esperti di Kaspersky è in grado di scaricare moduli sugli smartphone infetti che consentono di visualizzare annunci pubblicitari all’interno di finestre nascoste e di cliccarci sopra, scaricare file eseguibili, installare applicazioni di terze parti e aprire link arbitrari in schermate WebView non visibili per eseguire codice JavaScript. Grazie alle sue caratteristiche tecniche, il trojan è anche in grado di far abbonare gli utenti a servizi a pagamento. Inoltre, i moduli scaricati consentono agli aggressori di reindirizzare il traffico Internet attraverso il dispositivo della vittima, consentendo ai criminali informatici di accedere a risorse proibite o desiderate utilizzando il dispositivo della vittima, potenzialmente come parte di una botnet proxy.
La prima scoperta di Necro da parte degli esperti dell’azienda è avvenuta in una versione modificata di Spotify Plus. I creatori dell’app sostenevano che fosse sicura per i dispositivi e che offrisse funzioni aggiuntive non presenti nell’app ufficiale di streaming musicale. Successivamente, gli esperti hanno trovato anche una versione modificata di WhatsApp contenente il downloader Necro, seguita da versioni infette di giochi popolari, tra cui Minecraft, Stumble Guys e Car Parking Multiplayer. Necro è stato incorporato in queste applicazioni tramite un modulo pubblicitario non verificato. La campagna Necro si è estesa oltre le piattaforme di terze parti ed è stata scoperta anche su Google Play. Il downloader dannoso è stato trovato nell’app Wuta Camera e in Max Browser. Secondo le statistiche di Google Play, i download combinati di queste applicazioni hanno superato gli 11 milioni. Su questa piattaforma, Necro è stato distribuito anche tramite un messaggio pubblicitario non verificato. In seguito alla segnalazione di Kaspersky a Google, il codice dannoso è stato rimosso da Wuta Camera e Max Browser è stato ritirato dallo store. Tuttavia, gli utenti rischiano ancora di imbattersi in Necro su piattaforme non ufficiali. “Spesso gli utenti scaricano applicazioni non ufficiali e modificate per bypassare le restrizioni delle app ufficiali o accedere a funzionalità aggiuntive gratuite. I criminali informatici usano questo metodo, per diffondere malware attraverso queste applicazioni, poiché non c’è alcuna limitazione sulle piattaforme di terze parti”, ha commentato Dmitry Kalinin, Cybersecurity Expert di Kaspersky. “È inoltre importante notare che la versione di Necro incorporata in queste applicazioni abbia utilizzato tecniche di steganografia, nascondendo il suo payload all’interno di immagini per passare inosservato, un metodo insolito per il malware mobile”.


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.