Un altro trojan diffuso tramite il Google Play Store e app non ufficiali

Una nuova minaccia è stata scovata in alcune applicazioni presenti sul Google Play Store e non solo, i ricercatori di sicurezza di Kaspersky  hanno infatti individuato il trojan Necro in due applicazioni molto popolari sullo store di Google, scaricate da circa dieci milioni di utenti.

Non è la prima volta che affrontiamo l’argomento, tanto per fare qualche esempio di recente abbiamo visto il nuovo malware Brokewell, il malware SoumniBot che sfrutta una falla di Android per non essere rilevato, tre applicazioni contenenti il malware XploitSPY, 28 app VPN gratuite infette sul Google Play Store, diversi altri software reperibili dallo store di Google che contenevano il trojan bancario Anatsa, il nuovo metodo Dirty Stream, diversi malware che si camuffano da app Android popolari, oltre 120 campagne di hacking condotte con il malware “Rafel RAT”, o ancora il malware BingoMod che ruba e cancella i dati dello smartphone.

Oggi, grazie a quanto condiviso, diamo uno sguardo insieme a come si è diffuso il trojan Necro e a quali rischi ha sottoposto i dispositivi infettati.

Il trojan Necro si è fatto strada attraverso il Google Play Store infettando milioni di dispositivi

Per quanto il consiglio più in voga al fine di tutelare la propria sicurezza in ambito mobile sia quello di provvedere al download delle app esclusivamente dal Google Play Store, abbiamo visto in diverse occasioni come vari virus, malware, trojan e simili riescano di tanto in tanto a sfuggire ai controlli del colosso. È esattamente il caso di Necro, un trojan individuato dai ricercatori di sicurezza menzionati in apertura all’interno di due applicazioni molto popolari sullo store di Big G.

Si tratta nello specifico di Wuta Camera e Max Browser, ma anche altri software sono stati coinvolti nella diffusione del trojan, versioni non ufficiali di Spotify e di WhatsApp modificate sono state compromesse portando il numero totale di dispositivi infetti a oltre 11 milioni. Il numero maggiore di dispositivi compromessi sembra provenire da Wuta Camera che conteneva Necro a partire dalla versione 6.3.2.148, in seguito alla segnalazione effettuata a Google sembra che nell’ultima versione disponibile il trojan sia stato rimosso, mentre per quel che concerne Max Browser l’app è stata completamente eliminata dallo store.

Come detto, oltre ai due software distribuiti tramite lo store del colosso di Mountain View, sono state coinvolte anche alcune versioni modificate di popolari applicazioni distribuite tramite siti di terze parti, app come Spotify Plus e varie mod di WhatsApp come GBWhatsApp e FMWhatsApp promettevano funzionalità avanzate, ma pare che nella diffusione del trojan siano state coinvolte anche mod di gioco per Minecraft, Stumble Guys e Car Parking Multiplayer.

Il trojan Necro si basa su un SDK dannoso (Coral SDK) incorporato nelle app infette, in grado di comunicare con i server di comando e controllo (C2) inviando dati crittografati sul dispositivo e sull’app tramite una richiesta POST; una volta installato su un dispositivo il trojan era in grado di:

• Scaricare ed eseguire codice arbitrario, inclusi file DEX e altre app dannose.
• Aprire finestre WebView in background per interagire con gli annunci pubblicitari, generando entrate fraudolente.
• Installare altre applicazioni in modo silenzioso o iscrivere gli utenti a servizi premium senza che ne fossero a conoscenza.
• Creare un tunnel attraverso il dispositivo utilizzando moduli come NProxy, consentendo agli aggressori di instradare il traffico dannoso.
• Inviare regolarmente ai server C2 i dati del dispositivo, come IMEI, versione del sistema operativo e se gli strumenti di debug sono abilitati.

Qualora aveste scaricato una delle due applicazioni disponibili sul Google Play Store è caldamente consigliabile provvedere alla loro rimozione (anche se Wuta Camera sembra essere al momento disponibile con una versione sicura, meglio non rischiare), stesso discorso vale per le eventuali versioni modificate di Spotify e WhatsApp. Per il resto valgono sempre gli stessi consigli, evitate di scaricare applicazioni da fonti poco note, se proprio avete necessità di utilizzare store di terze parti prediligete sviluppatori affidabili e conosciuti, comportamento analogo sarebbe da seguire anche per i software reperiti tramite lo store ufficiale di Google.