Kaspersky Lab Inc. のセキュリティ研究者は、Google Play および非公式アプリ ソースを通じて少なくとも 1,100 万台の Android デバイスにインストールされている Necro マルウェアの新バージョンを発見しました。
知らない人のために説明すると、Necro マルウェアは 2019 年に、Google Play から 1 億回以上ダウンロードされた Phone PDF 作成アプリである CamScanner で初めて出現しました。
ただし、Necro マルウェアの新しい亜種は、ステガノグラフィーや難読化などの高度な手法を使用して検出を回避し、ペイロードを隠す多段階ローダーです。
さらに、このマルウェアは、Google Play 上の正規アプリや、Spotify や WhatsApp などの人気ソフトウェアの修正版、Minecraft、Stumble Guys、駐車場マルチプレイヤーとメロン サンドボックスは非公式アプリ ストアから入手できます。
カスペルスキーは、Google Play 上の 2 つのアプリで新しい Necro マルウェアを発見しました。 1つ目は、リアルタイムの美化、顔の特徴の調整、メイクアップフィルターを提供する無料アプリ「Wuta Camera」です。 「Benqu」が開発したこのアプリは、Google Play で 1,000 万回以上ダウンロードされています。
によるとカスペルスキーNecro ローダーは、Wuta Camera のバージョン 6.3.2.148 から 6.3.2.148 まで存在していました。セキュリティ会社が Google に通知したとき。
悪意のあるコードはバージョン 6.3.7.138 で削除されましたが、それよりも古いバージョンは依然として危険にさらされているため、すぐに更新することが求められます。
Necro マルウェアを感染させた 2 番目の正規アプリは、「WA メッセージ「recover-warm」」によって作成された「Max Browser」です。
この Web ブラウザは、Kaspersky の通知に従って削除されるまで、Google Play から 100 万回以上ダウンロードされていました。
Kaspersky によると、最新バージョン 1.2.0 には Necro ローダーがまだ含まれており、サードパーティのリソースから入手できます。ユーザーに対し、このバージョンを直ちにアンインストールし、別のブラウザに切り替えるよう勧めています。
どちらの場合も、カスペルスキーは、悪意のある活動を隠すために難読化手法を使用した「Coral SDK」という名前の広告SDKに感染したと述べている。また、第 2 段階のペイロードであるshellPlugin に画像ステガノグラフィーが使用され、無害な PNG 画像に見せかけられていました。
Android デバイスが感染すると、マルウェアは、攻撃者に不正な収益を生み出すためにバックグラウンドで目に見えないウィンドウに広告を表示するなど、さまざまな悪意のあるプラグインをアクティブ化します。また、任意の JavaScript および DEX ファイルをダウンロードして実行し、ダウンロードしたアプリをインストールし、トンネルを通過するモジュールも起動します。被害者のデバイスを攻撃し、場合によっては有料サブスクリプションを解除することもあります。
この最新の Necro マルウェアに感染した Android デバイスの正確な数は不明ですが、Google Play だけで少なくとも 1,100 万台の Android デバイスに影響を与えたと推定されています。
カスペルスキーによると、このマルウェアは 8 月 26 日の間にロシア、ブラジル、ベトナム、エクアドル、メキシコの数万人のユーザーをターゲットにしているのが確認されました。番目そして9月15日番目。
潜在的な脅威から保護するために、カスペルスキーはユーザーに対し、影響を受ける Google Play アプリを悪意のあるコードが削除されたバージョンに更新するか、Android デバイスから削除することを推奨しています。
また、公式ソースからのみアプリをダウンロードし、マルウェアをインストールしようとする試みからデバイスを保護するために信頼できるセキュリティ ソリューションを使用するようユーザーにアドバイスしています。
