Kaspersky: Necro Trojan maakt tot 11 miljoen slachtoffers onder Android-gebruikers
Tot 11 miljoen Android-gebruikers wereldwijd zijn slachtoffer van de Necro Trojan. De malware download andere schadelijke componenten en voert deze uit op besmette apparaten. Ook in Nederland zijn slachtoffers.
Dit meldt Kaspersky. De makers van Necro Trojan wisten de malware in diverse populaire apps in Google Play te infiltreren. Daarnaast paste zij toepassingen als Spotify, WhatsApp en Minecraft aan op onofficiële platforms.
Necro Trojan is een Android-downloader die andere schadelijke componenten downloadt en uitvoert op geïnfecteerde apparaten in opdracht van de Trojanmakers. Kaspersky's oplossingen registreerden Necro-aanvallen gericht op gebruikers in Rusland, Brazilië, Vietnam, Ecuador en Mexico als onderdeel van deze schadelijke campagne. De malware is ook actief in Europa en maakte in Nederland 80 slachtoffers.
Mogelijkheden van de Necro Trojan
De Necro-variant kan modules downloaden op geïnfecteerde smartphones, die vervolgens advertenties weergeven in onzichtbare vensters. De beheerders van de malware kunnen in deze onzichtbare WebView-vensters JavaScript-code uitvoeren. Bijvoorbeeld om op verborgen advertenties te klikken, maar ook voor het downloaden van uitvoerbare bestanden, installeren van toepassingen van derden en openen van willekeurige koppelingen in onzichtbare WebView-vensters om JavaScript-code uit te voeren.
Op basis van de technische kenmerken meldt Kaspersky dat de Trojan gebruikers waarschijnlijk aanmelden voor betaalde diensten. Daarnaast kunnen cybercriminelen met de gedownloade modules internetverkeer omleiden via het apparaat van het slachtoffer, waardoor ze verboden of gewenste bronnen kunnen bezoeken en het apparaat mogelijk kunnen gebruiken als onderdeel van een proxy-botnet.
Geïnfecteerde apps op onofficiële platforms
Experts van Kaspersky ontdekten Necro voor het eerst in een aangepaste versie van Spotify Plus. De makers van de app beweerden dat deze veilig was voor apparaten en extra functies bood die niet te vinden waren in de officiële muziekstreaming-app. Vervolgens trof Kaspersky ook een aangepaste versie van WhatsApp die de Necro-downloader bevatte, gevolgd door geïnfecteerde versies van populaire games als Minecraft, Stumble Guys en Car Parking Multiplayer. Necro was in deze applicaties ingebed via een niet-geverifieerde advertentiemodule.
De Necro-campagne ging verder dan platformen van derden en vond ook zijn weg naar Google Play. De schadelijke downloader is aangetroffen in de Wuta Camera-app en Max Browser. Volgens de statistieken van Google Play werden deze apps samen meer dan 11 miljoen keer gedownload. Ook in deze gevallen is Necro verspreid via een niet-geverifieerde advertentiemodule. Na het rapport van Kaspersky Lab aan Google is de kwaadaardige code verwijderd uit Wuta Camera en is Max Browser uit de store gehaald. Kaspersky waarschuwt dat gebruikers echter nog steeds het risico lopen om Necro te installeren via apps afkomstig van onofficiële platforms.
'Moderatie ontbreekt'
“Gebruikers kiezen er vaak voor om onofficiële, aangepaste apps te downloaden om de beperkingen van officiële applicaties te omzeilen of om toegang te krijgen tot extra gratis functies.Cybercriminelen maken misbruik van dit gedrag en verspreiden malware met deze apps omdat er moderatie ontbreekt op platformen van derden”, zegt Dmitry Kalinin, cybersecurity expert bij Kaspersky. “Het is ook opmerkelijk dat de versie van Necro die in deze applicaties is ingebed steganografietechnieken gebruikte, waarbij de payload in afbeeldingen werd verborgen om onopgemerkt te blijven - een zeer zeldzame methode voor mobiele malware.”
Kaspersky's beveiligingsoplossingen beschermen tegen Necro en detecteren de downloader als Trojan-Downloader.AndroidOS.Necro.f en Trojan-Downloader.AndroidOS.Necro.h, waarbij de schadelijke componenten worden geïdentificeerd als Trojan.AndroidOS.Necro. Meer informatie over de Necro Trojan is hier te vinden.