Uma nova versão do malware Necro Trojan para Android infectou 11 milhões de dispositivos através de aplicativos disponíveis na Google Play Store. O ataque foi realizado por meio de kits de desenvolvimento de software (SDK) de publicidade maliciosa, inseridos em aplicativos legítimos, mods de jogos e versões modificadas de aplicativos populares como Spotify, WhatsApp e Minecraft. A Kaspersky, que descobriu o ataque, alertou para a gravidade da situação, destacando o impacto em milhões de usuários.
O Necro Trojan foi distribuído em aplicativos populares por meio de SDKs infectados, permitindo que ele instalasse cargas maliciosas nos dispositivos comprometidos. Entre as principais funcionalidades estavam plugins de adware, que carregam links maliciosos em janelas invisíveis, e módulos que baixam e executam arquivos arbitrários. Além disso, o malware também habilita ferramentas que facilitam fraudes de assinatura e transforma dispositivos infectados em proxies para atividades maliciosas, mostrando a versatilidade desse ataque.
Dois aplicativos com grandes bases de usuários foram identificados como vetores do Necro na Google Play. O primeiro, Wuta Camera, uma ferramenta de edição de fotos com mais de 10 milhões de downloads, continha o malware em versões anteriores do aplicativo, antes de ser removido após uma notificação da Kaspersky. O segundo, Max Browser, com 1 milhão de downloads, também foi infectado e permanece vulnerável até que uma versão limpa seja lançada.
A Kaspersky afirmou que o Necro foi distribuído por meio de um SDK de publicidade chamado Coral SDK, que usava técnicas sofisticadas de ofuscação e esteganografia. A carga útil de segundo estágio, disfarçada como imagens PNG inofensivas, era baixada e executada sem o conhecimento dos usuários. Esse método permitiu que o malware ficasse oculto e operasse por um longo período, aumentando o número de dispositivos comprometidos.
O Google, em resposta às descobertas, afirmou estar ciente dos aplicativos denunciados e iniciou uma investigação. Embora o Necro tenha sido removido de algumas versões dos aplicativos, a Kaspersky alerta que as cargas úteis ainda podem estar ativas em dispositivos que executam versões antigas. Por isso, os usuários são aconselhados a desinstalar os aplicativos afetados e tomar precauções adicionais.
*Ciso Advisor