UTRECHT – Eind augustus 2024 ontdekten Kaspersky-experts een nieuwe versie van de Necro Trojan. Deze malware heeft verschillende populaire apps op Google Play geïnfiltreerd en ook toepassingen zoals Spotify, WhatsApp en Minecraft, op onofficiële platforms aangepast. Necro is een Android-downloader die andere schadelijke componenten downloadt en uitvoert op geïnfecteerde apparaten in opdracht van de Trojanmakers. Kaspersky’s oplossingen registreerden* Necro-aanvallen gericht op gebruikers in Rusland, Brazilië, Vietnam, Ecuador en Mexico als onderdeel van deze schadelijke campagne. De malware is ook actief in Europa en maakte in Nederland 80 slachtoffers.
Mogelijkheden van de Necro Trojan
Kaspersky-experts ontdekte de Necro-variant die modules kan downloaden op geïnfecteerde smartphones die advertenties weergeven in onzichtbare vensters. Hier kunnen ze op klikken, uitvoerbare bestanden downloaden, toepassingen van derden installeren en willekeurige koppelingen openen in onzichtbare WebView-vensters om JavaScript-code uit te voeren. Op basis van de technische kenmerken kan de Trojan gebruikers waarschijnlijk aanmelden voor betaalde diensten. Daarnaast kunnen cybercriminelen met de gedownloade modules internetverkeer omleiden via het apparaat van het slachtoffer, waardoor ze verboden of gewenste bronnen kunnen bezoeken en het apparaat mogelijk kunnen gebruiken als onderdeel van een proxy-botnet.”
Geïnfecteerde apps op onofficiële platforms
De experts ontdekten Necro voor het eerst in een aangepaste versie van Spotify Plus. De makers van de app beweerden dat deze veilig was voor apparaten en extra functies bood die niet te vinden waren in de officiële muziekstreaming-app. Vervolgens vonden experts ook een aangepaste versie van WhatsApp die de Necro-downloader bevatte, gevolgd door geïnfecteerde versies van populaire games, waaronder Minecraft, Stumble Guys en Car Parking Multiplayer. Necro was in deze applicaties ingebed via een niet-geverifieerde advertentiemodule.
Geïnfecteerde apps op Google Play
De Necro-campagne ging verder dan platformen van derden en werd ook ontdekt op Google Play. De schadelijke downloader werd aangetroffen in de Wuta Camera-app en Max Browser. Volgens de statistieken van Google Play werden deze apps samen meer dan 11 miljoen keer gedownload. Op dit platform werd Necro ook verspreid via een niet-geverifieerde advertentiemodule. Na het rapport van Kaspersky Lab aan Google is de kwaadaardige code verwijderd uit Wuta Camera en is Max Browser uit de store gehaald. Gebruikers lopen echter nog steeds het risico om Necro tegen te komen op onofficiële platforms.
“Gebruikers kiezen er vaak voor om onofficiële, aangepaste apps te downloaden om de beperkingen van officiële applicaties te omzeilen of om toegang te krijgen tot extra gratis functies.Cybercriminelen maken misbruik van dit gedrag en verspreiden malware met deze apps omdat er moderatie ontbreekt op platformen van derden”, zegt Dmitry Kalinin, cybersecurity expert bij Kaspersky. “Het is ook opmerkelijk dat de versie van Necro die in deze applicaties is ingebed steganografietechnieken gebruikte, waarbij de payload in afbeeldingen werd verborgen om onopgemerkt te blijven – een zeer zeldzame methode voor mobiele malware.”
Kaspersky’s beveiligingsoplossingen beschermen tegen Necro en detecteren de downloader als Trojan-Downloader.AndroidOS.Necro.f en Trojan-Downloader.AndroidOS.Necro.h, waarbij de schadelijke componenten worden geïdentificeerd als Trojan.AndroidOS.Necro.