Necro Android trójai
A Kaspersky a Necro loader jelenlétét két alkalmazásban fedezte fel a Google Play-en, amelyek mindegyike jelentős felhasználói bázissal rendelkezik. Az első a „Benqu” által készített Wuta Camera, egy fotószerkesztő és -szépítő eszköz, amely több mint 10 000 000 letöltéssel rendelkezik a Google Playen. A Necro malware betöltő Androidra készült új verzióját a Google Play-en keresztül 11 millió eszközre telepítették rosszindulatú SDK ellátási lánc támadások során. A Necro trójai új verzióját törvényes alkalmazások, Android játékmodok és népszerű szoftverek, például a Spotify, a WhatsApp és a Minecraft módosított változatai által használt rosszindulatú reklámszoftver-fejlesztőkészleteken (SDK) keresztül telepítették. 2024 augusztus végén felhívták a Kaspersky figyelmét egy Spotify Plus nevű Spotify modra, a 18.9.40.5 verzióra. A mod letölthető volt a spotiplus[.]xyz és több kapcsolódó oldalról, amelyek linkeltek rá. Az eredeti weboldal azt állította, hogy a mod hitelesített, biztonságos, és számos olyan kiegészítő funkciót tartalmaz, amely a hivatalos alkalmazásban nem található meg.
A Necro számos hasznos terhet telepít a fertőzött eszközökre, és különböző rosszindulatú bővítményeket aktivál, többek között:
- Adware, amely láthatatlan WebView ablakokon keresztül tölti be a linkeket (Island plugin, Cube SDK).
- Modulok, amelyek tetszőleges JavaScript és DEX fájlokat töltenek le és hajtanak végre (Happy SDK, Jar SDK).
- Kifejezetten az előfizetési csalás megkönnyítésére tervezett eszközök (Web plugin, Happy SDK, Tap plugin).
- Olyan mechanizmusok, amelyek a fertőzött eszközöket proxyként használják a rosszindulatú forgalom továbbítására (NProxy plugin).
