Trojan Necro napadl až 11 milionů obětí

Koncem srpna 2024 identifikovali odborníci novou verzi trojského koně Necro, který pronikl do několika populárních aplikací v Google Play a upravil aplikace na neoficiálních platformách, včetně Spotify, WhatsApp a Minecraft. Necro je downloader, který na základě příkazů tvůrců tohoto trojského koně stahuje, a následně spouští další škodlivé komponenty na infikovaných zařízeních. Kyberbezpečnostní řešení společnosti Kaspersky zaznamenala[1] v rámci této škodlivé kampaně útoky Trojanem Necro zaměřené zejména na uživatele v Rusku, Brazílii, Vietnamu, Ekvádoru a Mexiku. Ojedinělé případy byly zaznamenány i v České republice, konkrétně se jedná o 19 incidentů.

Varianta hrozby Necro dokáže do infikovaných smartphonů stahovat moduly, které zobrazují reklamy v neviditelných oknech a umožňují na ně kliknout, stahovat spustitelné soubory, instalovat aplikace třetích stran a otevírat libovolné odkazy v neviditelných oknech WebView a tím spouštět kód JavaScriptu. Na základě svých technických parametrů je trojský kůň pravděpodobně také schopen přihlásit uživatele k placeným službám. Stažené moduly navíc útočníkům umožňují přesměrovat internetový provoz přes zařízení oběti. To umožňuje kyberzločincům navštěvovat zakázané servery pomocí zařízení oběti a potenciálně jej využívat jako součást proxy botnetu.

Odborníci objevili Necro poprvé v upravené verzi aplikace Spotify Plus. Tvůrci aplikace tvrdili, že je pro zařízení bezpečná a nabízí další funkce, které se v oficiální aplikaci ke streamování hudby nenacházejí. Následně odborníci našli také upravenou verzi aplikace WhatsApp obsahující downloader Necro a poté infikované verze populárních her, včetně Minecraftu, Stumble Guys a Car Parking Multiplayer. Necro byl do těchto aplikací integrován přes neověřený reklamní modul.

Kromě platforem třetích stran se Necro rozšířil i do Google Play. Škodlivý downloader byl nalezen v aplikaci Wuta Camera a Max Browser. Podle statistik Google Play přesáhl počet stažení těchto aplikací dohromady 11 milionů. Na této platformě byl Necro distribuován také prostřednictvím neověřeného reklamního modulu. Na základě hlášení Kaspersky Lab společnosti Google byl škodlivý kód z aplikace Wuta Camera odstraněn a aplikace Max Browser byla z obchodu stažena. Uživatelé však stále riskují, že se s Necro setkají na neoficiálních platformách.

Zdroj: Kaspersky

Zdroj: IT SECURITY NETWORK NEWS