Android, attenzione a Necro Trojan: oltre 11 milioni di dispositivi compromessi

I ricercatori di sicurezza di Kaspersky hanno lanciato un allarme circa la presenza di una nuova variante del malware Necro Trojan per Android su oltre 11 milioni di dispositivi: secondo le indagini dei ricercatori la diffusione è avvenuta tramite SDK pubblicitari compromessi utilizzati da applicazioni legittime e distribuite tramite il Google Play Store.

Necro Trojan e un malware particolarmente insidioso poiché ha la capacità di installare diversi payload sui dispositivi infetti e attivare vari plugin dannosi, come, ad esempio, dware che caricano link attraverso finestre WebView invisibili, moduli per il download e l'esecuzione di file JavaScript e DEX arbitrari, strumenti progettati per facilitare le frodi di abbonamento e meccanismi che trasformano i dispositivi infetti in proxy per il traffico malevolo.

I ricercatori di sicurezza hanno individuato la presenza di Necro su due applicazioni presenti in Google Play Store: Wuta Camera di "Benqu" e Max Browser di "WA message recover-wamr", la prima con 10 milioni di download e la seconda con oltre 1 milione di download. 

Nel caso di Wuta Camera, un'app per la modifica di fotografie, il trojan ha fatto la sua comparsa per la prima volta nella versione 6.3.2.148 ed è rimasto presente fino alla 6.3.6.148 quando i ricercatori di Kaspersky hanno comunicato a Google dell'esistenza del trojan. Il malware non è più presente  dalla versione 6.3.7.138 dell'app, ma eventuali payload installati dalle versioni precedenti potrebbero ancora operare indisturbati sui dispositivi Android degli utenti.

MaxBrowser invece è stata rimossa dal Play Store dopo la segnalazione a Google. L'ultima versione resa disponibile, la 1.2.0 contiene ancora Necro Trojan e al momeno non sono disponibili aggiornamenti per versioni sicure. In questo caso è consigliabile disinstallare l'app e cercare alternative più sicure. 

L'analisi di Kaspersky indica che le app sono state compromesse tramite un SDK pubblicitario chiamato "Coral SDK" che ha fatto uso di tecniche di offuscamento per nascondere sa sua vera natura. Tra queste si segnala l'uso della steganografia per scaricare il payload shellPlugin, mascherato da immagini PNG. 

Necro Trojan è un malware incontrato anche al di fuori del Play Store, che si diffonde sfruttando versioni modificate di applicazioni popolari, distribuite tramite canali non ufficiali. I ricercatori di Kaspersky hanno a tal proposito identificato "GBWhatsApp" e "FMWhatsApp", che si spacciano per versioni del noto programma di messaggistica con migliori controlli relativi alla privacy. Oppure ancora "Spotify Plus" che promette l'accesso gratuito e senza pubblicità ai contenuti premium del servizio di streaming. I ricercatori hanno inoltre osservato anche mod di Minecraft e di altri giochi popolari.

Al di là del metodo di distribuzione, il funzionamento di Necro Trojan è il medesimo, e in tutti i casi il suo scopo è quello di mostrare annunci pubblicitari in background per generare guadagni, ma anche l'installazione di applicazioni e APK senza il consenso dell'utente e l'uso di WebView invisibili per intercettare dati di pagamento.

Chiaramente per quel tipo di compromissioni conseguenti ad installazioni di app scaricate da canali non ufficiali è impossibile poter stabilire una portata della diffusione.