В конце августа 2024 года эксперты «Лаборатории Касперского» обнаружили, что в несколько популярных приложений в Google Play и на неофициальных площадках проникла новая версия зловреда Necro. Это загрузчик для Android, который скачивает и запускает на заражённом смартфоне другие вредоносные компоненты в зависимости от того, какие команды дадут создатели троянца. В рамках этой вредоносной кампании решения «Лаборатории Касперского» зафиксировали атаки Necro на пользователей в России, Бразилии, Вьетнаме, Эквадоре и Мексике. Троянец может загружать на заражённый смартфон модули, которые показывают на устройстве рекламу в невидимых окнах и прокликивают её, скачивают исполняемые файлы, устанавливают на телефон сторонние приложения, открывают в невидимых окнах произвольные ссылки в WebView и исполняют там произвольный JavaScript-код, а также исходя из технических характеристик, вероятно, могут оформлять платные подписки. Кроме того, загружаемые модули дают злоумышленникам возможность пересылать интернет-трафик через девайс жертвы. Это позволяет атакующим якобы от лица жертвы посещать нужные им ресурсы, например, запрещённые, а также использовать заражённый гаджет как часть прокси-ботнета.
Первой находкой киберэкспертов, в которой скрывался Necro, оказался модифицированный Spotify Plus. Его авторы заявляли, что программа не представляет вреда для устройства и содержит множество дополнительных функций, которых нет в официальном приложении для прослушивания музыки. Позднее специалисты также обнаружили заражённые модификации игр, среди которых: Minecraft, Stumble Guys, Car Parking Multiplayer. Necro попал в приложения в составе непроверенного рекламного модуля. Распространением на сторонних площадках кампания Necro не ограничилась. Специалисты обнаружили троянец и в Google Play. Вредоносный загрузчик был обнаружен в приложении Wuta Camera и в браузере Max Browser. Согласно данным из Google Play, общее количество скачиваний этих приложений превысило 11 миллионов. В обнаруженные приложения на этой платформе Necro попал также в составе непроверенного рекламного модуля. «Лаборатория Касперского» сообщила Google о заражениях. В результате этого из приложения Wuta Camera был удалён вредоносный код, а приложение Max Browser было удалено из магазина. Однако пользователи по-прежнему рискуют столкнуться с Necro на неофициальных площадках.
Источник: mobile-review.com
Похожие новости:
«Лаборатория Касперского» увольняет сотрудников американского офиса и закрывает свой бизнес в США
Neowin: «Лаборатория Касперского» перевела свои ИБ-решения на ПК американских клиентов на антивирус UltraAV
Axios: «Лаборатория Касперского» передала около 1 млн своих американских клиентов на поддержку в компанию Pango
«Лаборатория Касперского»: санкции Минторга США против компании способствуют развитию киберпреступности