Versiones modificadas de aplicaciones. Androide Se han utilizado programas populares en PlayStore como Spotify, WhatsApp y Minecraft para proporcionar una nueva versión del descargador. El malware conocido se llama Necro..
Se ha encontrado malware Android Necro en aplicaciones populares de Play Store
Según Kaspersky, también se han encontrado algunas aplicaciones maliciosas en Google Play Store. Se ha descargado acumulativamente 11 millones de veces. Incluyen: Wuta Camera – Nice Shot Always (com.benqu.wuta) – más de 10 millones de descargas; Max Browser-Private & Security (com.max.browser): más de 1 millón de descargas.
Hacker News informa que Max Browser ya no está disponible para descargar desde Play Store. Por otro lado, Wuta Camera (versión 6.3.7.138) ha sido actualizada para eliminar malware. La última versión de la aplicación, 6.3.8.148, se lanzó el 8 de septiembre de 2024.
Actualmente no está claro cómo ambas aplicaciones fueron infiltradas por malware en primer lugar, aunque se cree que el responsable es un kit de desarrollo de software (SDK) fraudulento para integrar funciones publicitarias.
Necro (que no debe confundirse con la botnet del mismo nombre) fue descubierto por primera vez por una empresa rusa de ciberseguridad en 2019 cuando estaba oculto en una popular aplicación de escaneo de documentos llamada CamScanner. Más tarde, CamScanner atribuyó el problema a un SDK de publicidad proporcionado por un tercero llamado AdHub, que, según dijo, contenía un módulo malicioso para recuperar el malware en el siguiente salto desde un servidor remoto, actuando esencialmente como un cargador de todo tipo de malware en las víctimas. dispositivos.
Nueva versión de malware
La nueva versión del malware no es diferente, aunque incluye técnicas de ofuscación para evitar la detección y utiliza principalmente esteganografía para ocultar cargas útiles.
Un método de entrega notable para Necro son las versiones modificadas de aplicaciones y juegos populares alojados en sitios web y tiendas de aplicaciones no oficiales. Una vez descargadas, las aplicaciones inicializan un módulo llamado Coral SDK, que a su vez envía una solicitud HTTP POST a un servidor remoto.
Más tarde, el servidor responde con un enlace a un supuesto archivo de imagen PNG alojado en atadoss.spinsok.[.]com, y el SDK luego procede a extraer la carga principal (un archivo Java (JAR) codificado en Base64) del mismo.
Las funciones maliciosas de Necro se implementan a través de un conjunto de módulos adicionales (también conocidos como complementos) que se descargan desde un servidor de comando y control (C2), lo que le permite realizar una amplia gama de acciones en el dispositivo Android infectado.
El descubrimiento del Happy SDK planteó la posibilidad de que los actores de amenazas detrás de la campaña estén experimentando con una versión no estándar.
a través de: Noticias de piratas informáticos
