Según investigadores de seguridad, los atacantes han atacado algunas aplicaciones de Google Play y modificaciones ilegales de aplicaciones populares para difundir malware peligroso. Se cree que el troyano Necro es capaz de piratear, robar información confidencial, instalar malware adicional y ejecutar comandos remotos. Se ha descubierto que dos aplicaciones de la tienda Google Play contienen este malware. Además, también se descubrió que los paquetes de aplicaciones de Android (modificados) para aplicaciones como Spotify, WhatsApp y juegos como Minecraft ejecutaban el troyano.
Aplicaciones de Google Play, APK modificados utilizados para difundir el troyano Necro
La primera vez que se vio el troyano de la familia Necro fue en 2019, cuando el malware infectó la popular herramienta de creación de PDF CamScanner. La versión oficial de la aplicación en Google Play, que se ha descargado más de 100 millones, representa un riesgo para los usuarios, pero la seguridad solucionó el problema en ese momento.
Según un la oficina de correos Según investigadores de Kaspersky, se detectó una nueva versión del troyano Necro en dos aplicaciones de Google Play. La primera es la aplicación Wuta Camera, que se ha descargado más de 10 millones de veces, y la segunda es Max Browser, que se ha descargado más de un millón de veces. Los investigadores confirmaron que Google eliminó las aplicaciones infectadas después de que Kaspersky llegara a la empresa.
El principal problema proviene de la gran cantidad de versiones ilegales “modificadas” de aplicaciones populares, que se encuentran alojadas en una gran cantidad de sitios web de terceros. Los usuarios pueden descargarlos accidentalmente e instalarlos en sus dispositivos Android, infectándolos. Algunos de los APK cargados de malware vistos por los investigadores incluyen versiones modificadas de Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer y Melon Sandbox; estas versiones modificadas prometen a los usuarios acceso a funciones que normalmente requieren una suscripción paga.
Curiosamente, los atacantes parecen estar utilizando múltiples métodos para atacar a los usuarios. Por ejemplo, el mod de Spotify tenía un SDK que muestra muchos módulos publicitarios, como navegadores. Se utilizó un servidor de comando y control (C&C) para redirigir el flujo del troyano si el usuario tocaba accidentalmente el módulo basado en imágenes.
De manera similar, en el mod de WhatsApp, se descubrió que los atacantes habían escrito el servicio en la nube Firebase Remote Config para usarlo como servidor C&C. Finalmente, interactuar con el módulo ejecutaría y ejecutaría la misma recompensa.
Una vez instalado, el malware puede “descargar archivos ejecutables, instalar aplicaciones de terceros y abrir enlaces invisibles en ventanas WebView invisibles para cargar código JavaScript”, destaca la publicación de Kaspersky. Además, también puede suscribirse a costosos servicios de pago sin el conocimiento del usuario.
Como se eliminaron las aplicaciones de Google Play, se recomienda a los usuarios que tengan cuidado al descargar aplicaciones de Android de fuentes de terceros. Si no confían en el mercado, deben evitar descargar o instalar aplicaciones o archivos.
