专家警告说,在 Google Play 中发现了 Necro 木马,威胁行为者正在通过合法 Android 应用程序的虚假版本进行传播。
卡巴斯基的研究人员在上传到 Google Play 商店的多个应用程序中发现了新版本的 Necro 木马。该恶意软件隐藏在流行的应用程序和游戏模组中。
卡巴斯基研究人员于 2019 年首次发现了 Necro 木马,恶意代码位于流行的 PDF 创建应用程序 CamScanner 应用程序的免费版本中。
新版本的 Necro 加载程序感染了 Google Play 中的应用程序以及 Spotify、Minecraft 和非官方来源中的其他流行应用程序的修改版本。
新版本的 Necro 加载程序使用混淆和隐写技术来逃避检测。它可以执行各种恶意操作,包括在不可见的窗口中显示广告、下载和执行 DEX 文件、安装应用程序、在隐藏的 WebView 窗口中打开链接、执行 JavaScript 以及通过受害者的设备创建隧道。恶意代码还可能订阅付费服务。
据专家介绍,Google Play 商店中的恶意应用程序已被下载1100万次(Wuta Camera 10+ 百万下载,Max Browser 1+ 百万下载)。由于 Necro 通过非官方应用程序来源传播,因此受感染设备的实际数量可能会更高。
“新版本的 Necro Trojan 已经感染了各种流行的应用程序,包括游戏模组,在撰写本报告时,其中一些应用程序可以在 Google Play 上找到。” “后者的受众总数超过 1100 万台 Android 设备。”
研究人员认为,该恶意软件通过受污染的软件开发人员工具包 (SDK) 进入 Play 商店,该工具包用于将广告功能集成到应用程序中。
Necro 恶意软件主要通过非官方网站和应用商店上提供的流行应用程序和游戏的修改版本提供。这些应用程序会激活 Coral SDK,该 SDK 会向命令和控制 (C2) 服务器发送加密的 POST 请求,其中包含有关受感染设备和主机应用程序的详细信息。C2 服务器使用 JSON 文件进行响应,该文件包含指向 PNG 图像文件的链接以及 MD5 和版本信息等元数据。此 PNG 文件包含通过隐写术隐藏的有效负载。SDK 从映像中提取主要负载,即 Base64 编码的 Java 存档 (JAR) 文件。
Necro 具有模块化结构,插件是从 C2 服务器下载的,以允许它支持多种功能,包括:
- NProxy:创建穿过受害者设备的隧道。
- 孤岛:在显示侵入性广告之间生成伪随机时间间隔。
- Web:定期联系 C2 服务器,通过特定链接以提升的权限执行任意代码。
- Cube SDK:加载处理后台广告展示的插件。
- 点按:从 C2 服务器下载 JavaScript 代码和 WebView 界面,以秘密加载和查看广告。
- Happy SDK:将 NProxy 和 Web 模块组合在一起,但略有不同。
对 Happy SDK 的分析可能揭示了 Necro 的不同变体,它没有模块化架构。
这表明 Necro 具有很强的适应性,并且能够下载自身的新迭代,从而可能添加新功能。
在 8 月 26 日至 9 月 15 日期间,安全解决方案在全球范围内阻止了超过 10,000 次 Necro 攻击,其中大部分感染发生在俄罗斯、巴西和越南。
“Necro 木马再次成功攻击了全球数以万计的设备。这个新版本是一个多阶段加载程序,它使用隐写术来隐藏第二阶段有效载荷,这是一种非常罕见的移动恶意软件技术,以及用于逃避检测的混淆。“报告总结道。“模块化架构为木马的创建者提供了广泛的选择,可以根据受感染的应用程序进行大规模和有针对性的加载程序更新或新的恶意模块。”
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容