与 Spotify、WhatsApp 和 Minecraft 相关的合法 Android 应用程序的更改版本已被用于提供名为 Necro 的已知恶意软件加载程序的新版本。

卡巴斯基表示，在 Google Play 商店中也发现了一些恶意应用程序。它们已累计下载了 1100 万次。他们包括 –

• Wuta Camera – Nice Shot Always （com.benqu.wuta） – 10+ 百万下载量
• Max Browser-Private & Security （com.max.browser） – 1+ 百万下载量

在撰写本文时，Max Browser 不再可从 Play 商店下载。另一方面，Wuta Camera 已更新（版本 6.3.7.138）以删除恶意软件。该应用程序的最新版本 6.3.8.148 于 2024 年 9 月 8 日发布。

目前尚不清楚这两款应用程序最初是如何被恶意软件入侵的，尽管据信用于集成广告功能的流氓软件开发工具包 （SDK） 是罪魁祸首。

Necro（不要与同名僵尸网络混淆）于 2019 年首次由俄罗斯网络安全公司发现，当时它隐藏在名为 CamScanner 的流行文档扫描应用程序中。

CamScanner 后来将问题归咎于名为 AdHub 的第三方提供的广告 SDK，它表示该 SDK 包含一个恶意模块，用于从远程服务器检索下一阶段的恶意软件，本质上充当将各种恶意软件加载到受害者设备上的加载程序。

新版本的恶意软件也不例外，尽管它包含混淆技术来逃避检测，特别是利用隐写术来隐藏有效载荷。

“除其他外，下载的有效载荷可以在不可见的窗口中显示广告并与之交互，下载和执行任意 DEX 文件，安装它下载的应用程序，”卡巴斯基研究员 Dmitry Kalinin 说。

它还可以 “在不可见的 WebView 窗口中打开任意链接并在其中执行任何 JavaScript 代码，在受害者的设备中运行隧道，并可能订阅付费服务。

Necro 的主要交付工具之一是托管在非官方网站和应用商店中的流行应用程序和游戏的修改版本。下载后，应用程序会初始化一个名为 Coral SDK 的模块，该模块反过来会向远程服务器发送 HTTP POST 请求。

服务器随后以一个链接作为响应，该链接指向托管在 adoss.spinsok 上的据称的 PNG 图像文件[.]com，然后 SDK 继续从中提取主要有效负载 – Base64 编码的 Java 存档 （JAR） 文件。

Necro 的恶意功能是通过从命令和控制 （C2） 服务器下载的一组附加模块（又名插件）实现的，使其能够在受感染的 Android 设备上执行各种操作 –

• NProxy – 创建穿过受害者设备的隧道
• island – 生成一个伪随机数，用作侵入性广告显示之间的时间间隔（以毫秒为单位）
• web – 定期联系 C2 服务器，并在加载特定链接时以提升的权限执行任意代码
• Cube SDK – 一个帮助程序模块，用于加载其他插件以在后台处理广告
• 点按 – 从 C2 服务器下载任意 JavaScript 代码和 WebView 界面，这些代码和界面负责秘密加载和查看广告
• Happy SDK/Jar SDK – 一个结合了 NProxy 和 web 模块的模块，有一些细微的差异

Happy SDK 的发现增加了该活动背后的威胁行为者也在试验非模块化版本的可能性。

“这表明 Necro 具有很强的适应性，可以下载自己的不同迭代，也许是为了引入新功能，”Kalinin 说。

卡巴斯基收集的遥测数据显示，它在 2024 年 8 月 26 日至 9 月 15 日期间在全球范围内阻止了超过 10000 次 Necro 攻击，其中俄罗斯、巴西、越南、厄瓜多尔、墨西哥、台湾、西班牙、马来西亚、意大利和土耳其的攻击数量最多。

“这个新版本是一个多阶段加载程序，它使用隐写术来隐藏第二阶段有效载荷，这是一种非常罕见的移动恶意软件技术，以及用于逃避检测的混淆，”Kalinin 说。

“模块化架构为木马的创建者提供了广泛的选择，可以根据受感染的应用程序进行大规模和有针对性的加载程序更新或新的恶意模块。”