Eind augustus 2024 ontdekten Kaspersky-experts een nieuwe versie van de Necro Trojan. Deze malware heeft verschillende populaire apps op Google Play geïnfiltreerd en ook toepassingen zoals Spotify, WhatsApp en Minecraft, op onofficiële platforms aangepast. Necro is een Android-downloader die andere schadelijke componenten downloadt en uitvoert op geïnfecteerde apparaten in opdracht van de Trojanmakers. Kaspersky's oplossingen registreerden* Necro-aanvallen gericht op gebruikers in Rusland, Brazilië, Vietnam, Ecuador en Mexico als onderdeel van deze schadelijke campagne. De malware is ook actief in Europa en maakte in Nederland 80 slachtoffers.
Mogelijkheden van
de Necro Trojan
Kaspersky-experts ontdekte de Necro-variant die modules kan downloaden op geïnfecteerde
smartphones die advertenties weergeven
in onzichtbare vensters. Hier kunnen ze op klikken, uitvoerbare bestanden
downloaden, toepassingen van derden installeren en willekeurige koppelingen
openen in onzichtbare WebView-vensters om JavaScript-code uit te voeren. Op basis van de
technische kenmerken kan de Trojan gebruikers waarschijnlijk aanmelden voor
betaalde diensten. Daarnaast kunnen cybercriminelen met de
gedownloade modules internetverkeer omleiden via het apparaat van het
slachtoffer, waardoor ze verboden of gewenste
bronnen kunnen bezoeken en het apparaat mogelijk kunnen gebruiken als onderdeel
van een proxy-botnet.”
Geïnfecteerde apps
op onofficiële platforms
De experts ontdekten Necro voor het eerst in een aangepaste versie van Spotify
Plus. De makers van de app beweerden dat deze veilig was voor apparaten en
extra functies bood die niet te vinden waren in de officiële
muziekstreaming-app. Vervolgens vonden experts ook een aangepaste versie van
WhatsApp die de Necro-downloader bevatte, gevolgd door geïnfecteerde versies
van populaire games, waaronder Minecraft, Stumble Guys en Car Parking
Multiplayer. Necro was in deze applicaties ingebed via een niet-geverifieerde
advertentiemodule.
Geïnfecteerde apps
op Google Play
De Necro-campagne ging verder dan platformen van derden en werd ook ontdekt op
Google Play. De schadelijke downloader werd aangetroffen in de Wuta Camera-app
en Max Browser. Volgens de statistieken van Google Play werden deze apps samen
meer dan 11 miljoen keer gedownload. Op dit platform werd Necro ook verspreid
via een niet-geverifieerde advertentiemodule. Na het rapport van Kaspersky Lab
aan Google is de kwaadaardige code verwijderd uit Wuta Camera en is Max Browser
uit de store gehaald. Gebruikers lopen echter nog steeds het risico om Necro
tegen te komen op onofficiële platforms.
“Gebruikers kiezen er vaak voor om onofficiële, aangepaste apps te downloaden om de beperkingen van officiële applicaties te omzeilen of om toegang te krijgen tot extra gratis functies.Cybercriminelen maken misbruik van dit gedrag en verspreiden malware met deze apps omdat er moderatie ontbreekt op platformen van derden”, zegt Dmitry Kalinin, cybersecurity expert bij Kaspersky. “Het is ook opmerkelijk dat de versie van Necro die in deze applicaties is ingebed steganografietechnieken gebruikte, waarbij de payload in afbeeldingen werd verborgen om onopgemerkt te blijven - een zeer zeldzame methode voor mobiele malware.”
Kaspersky's beveiligingsoplossingen beschermen tegen Necro en detecteren de downloader als Trojan-Downloader.AndroidOS.Necro.f en Trojan-Downloader.AndroidOS.Necro.h, waarbij de schadelijke componenten worden geïdentificeerd als Trojan.AndroidOS.Necro.
Ga voor meer informatie over de Trojan Necro naar Securelist.com.
** Gegevens gebaseerd op geanonimiseerde statistieken van Kaspersky-oplossingen voor 26 augustus - 15 september 2024.
