Троянец Necro заразил более 11 миллионов Android-устройств через Google Play

Миллионы владельцев Android-устройств по всему миру, в том числе в России, стали жертвами новой версии троянца Necro, обнаруженной в приложениях на Google Play и неофициальных платформах. Этот зловред до сих пор может распространяться через неофициальные источники.

Заражение через Google Play

В конце августа 2024 года специалисты «Лаборатории Касперского» выявили активную кампанию с участием Necro, затрагивающую популярные приложения как на Google Play, так и на неофициальных платформах. Necro — это загрузчик для Android, способный скачивать и активировать дополнительные вредоносные компоненты на заражённых устройствах. Он действует по командам своих создателей, адаптируясь к условиям заражённых устройств и задачам злоумышленников.

Троянец распространялся через приложения Wuta Camera и Max Browser, которые вместе были скачаны более 11 миллионов раз. Зловред попал в эти приложения через непроверенные рекламные модули, что позволило ему заражать устройства ничего не подозревающих пользователей.

В результате уведомления Google об угрозе, Wuta Camera было очищено от вредоносного кода, а Max Browser удалено из магазина.

Заражение через неофициальные площадки

Necro распространялся также на неофициальных платформах через популярные модифицированные приложения, такие как Spotify Plus и изменённые версии WhatsApp*, Minecraft, Stumble Guys и Car Parking Multiplayer. Эти модификации привлекали пользователей обещанием дополнительных функций, отсутствующих в официальных версиях, однако вместе с ними на устройства загружался вредоносный код.

* WhatsApp принадлежит компании Meta, которая признана экстремистской организацией и запрещена в России.

Первой находкой, в которой специалисты обнаружили Necro, стал модифицированный Spotify Plus. Несмотря на заверения авторов модификации в безопасности приложения, оно содержало загрузчик Necro. Последующие анализы показали, что этот троянец использует приёмы стеганографии, скрывая вредоносную нагрузку в изображениях, что делает его особенно сложным для обнаружения.

«Пользователи скачивают неофициальные модифицированные приложения, когда хотят обойти ограничения официальных приложений или в надежде получить дополнительные бесплатные опции. Этим и пользуются злоумышленники. Зачастую они распространяют вместе с такими приложениями вредоносное ПО, так как на сторонних площадках отсутствует модерация, — комментирует Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского». — Интересно также, что версия Necro, встроенная в приложения, использовала приёмы стеганографии, а именно прятала полезную нагрузку в изображении, чтобы скрыть её. Это редкий приём для мобильных зловредов».

Как работает Necro

Новая версия Necro обладает широким функционалом. Она может загружать модули, выполняющие следующие задачи:

• Показ рекламы в невидимых окнах и автоматический клик по ней;
• Загрузка исполняемых файлов и установка сторонних приложений;
• Открытие произвольных ссылок в WebView и выполнение JavaScript-кода;
• Оформление платных подписок без ведома пользователя;
• Пересылка интернет-трафика через заражённое устройство, что позволяет злоумышленникам использовать гаджеты жертв для посещения запрещённых сайтов или создания прокси-ботнета.

Защита от Necro

«Лаборатория Касперского» оперативно реагирует на угрозы, такие как Necro, и её решения способны обнаруживать и блокировать этот зловред. Trojan-Downloader.AndroidOS.Necro.f и Trojan-Downloader.AndroidOS.Necro.h — это детекторы, срабатывающие на загрузчик Necro, а его компоненты классифицируются как Trojan.AndroidOS.Necro.

Для защиты Android-устройств эксперты рекомендуют:

• Скачивать приложения только из официальных источников;
• Регулярно обновлять ОС и приложения;
• Использовать надёжные защитные решения от проверенных производителей, такое как Kaspersky для Android.