В конце августа в двух приложениях на маркетплейсе Google Play Store было обнаружено троянское ПО под кодовым названием Necro — многоуровневый загрузчик для запуска рекламы в фоновом режиме, скликивания и генерации трафика через зараженные Android-устройства. Жертвами трояна стали пользователи из России, Бразилии, Вьетнама, Эквадора и Мексики.
Согласно отчету экспертов «Лаборатории Касперского», внутри приложений находился пакет SDK Coral (а также Jar, Cube и др.), предназначенный для интеграции рекламных модулей в приложение и загрузки рекламы. Как только он попадал на устройство, то начинал отправлять запросы на сервер на скачивание вредоносного PNG-файла. В процессе вредонос использовал технологию обфускации, чтобы скрыть свою вредоносную активность, а для скачивания полезной нагрузки второго этапа (shellPlugin) и запроса на получение картинки использовал стеганографию.
Под ударом оказались Spotify, Minecraft, WhatsApp
— Spotify Plus
Злоумышленники модифицировали мобильные приложения и распространяли их через сторонние сайты. Например, Spotify Plus через сайт spotiplus[.]xyz.
— Wuta Camera и Max Browser
Еще одно зараженное трояном Necro приложение, Wuta Camera, было скачано в Google Play более 10 млн раз, третье — Max Browser — более 1 млн.
Под удар попал и WhatsApp, модификация с вредоносной “некроначинкой” которого также распространялась через сторонние сайты. Модификация имитировала легитимный пакет om.leapzip.animatedstickers.maker.android со стикерами для мессенджера.
Отличительная черта — эта модификация не использовала обфускацию, а в качестве сервера обращалась к облачному сервису Firebase Remote Config, принадлежащий Google. Там хранилась информация о файлах, которые необходимо было скачать и выполнить.
— Minecraft и другие
Помимо модификаций Spotify и WhatsApp, а также Wuta Camera и Max Browser из Google Play, эксперты обнаружили и другие приложения с «вредоносной» начинкой, такие как Minecraft, Stumble Guys и др. По мнению экспертов, их разработчики использовали непроверенные решения для интеграции рекламных модулей, таким образом заражая свои приложения.
Как только пользователь устанавливал на свое устройство вредоносное приложение, оно получало доступ к загрузке разных модулей и плагинов. Вредонос мог запускать просмотр и скликивание рекламы, которая открывалась в фоновом режиме на устройстве.
Как и вредонос Joker, который когда-то также был обнаружен в мобильных приложениях в Google Play Store, Necro тоже мог подписывать пользователей на платные подписки. Для этого он мог добавлять в параметры URL любую дополнительную информацию.
Кроме того, злоумышленники создали из зараженных устройств целый прокси-ботнет и через них направляли трафик на нужные им ресурсы.
По подсчетам Google, приложения из Play Store были скачаны более 11 млн раз, тем не менее точное количество жертв подсчитать невозможно, поскольку различные модификации популярных приложений распространялись через сторонние ресурсы.
Ранее вредонос Necro уже был замечен в Google Play. В 2019 году эксперты в области кибербезопасности обнаружили зараженное им приложение CamScanner с суммарным количеством загрузок более 100 млн раз.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
