Scoperto virus Android che si annidava in app modificate e pure nel Play Store

Alla fine di agosto, gli esperti di sicurezza informatica di Kaspersky hanno identificato una nuova versione del trojan Necro. Si era infiltrato in diverse applicazioni pubblicate sul Play Store di Google che godono di una certa popolarità, e ha popolato alcune app non ufficiali, tra cui di Spotify, WhatsApp o Minecraft.

Necro infatti, tra i malware, è un downloader Android che scarica ed esegue dei componenti dannosi sui dispositivi della vittima seguendo le istruzioni inviate da chi lo ha partorito. Kaspersky ha registrato attacchi Necro rivolti a utenti in Russia, Brasile, Vietnam, Ecuador e Messico, ai quali si aggiunge l’Italia che è tra i primi 10 Paesi per numero di attacchi.

La variante di Necro scoperta dagli esperti di Kaspersky è in grado di scaricare moduli sugli smartphone infetti che consentono di visualizzare annunci pubblicitari all’interno di finestre nascoste e di cliccarci sopra, scaricare file eseguibili, installare applicazioni di terze parti e aprire link specifici che consentono l'esecuzione del codice JavaScript.

Grazie alle sue caratteristiche, il trojan punta anche a far abbonare gli utenti a servizi a pagamento. Inoltre, i moduli scaricati consentono agli aggressori di reindirizzare il traffico internet attraverso il dispositivo della vittima, consentendo ai criminali di accedere a risorse proibite o desiderate utilizzando il dispositivo della vittima, potenzialmente come parte di una botnet proxy.

Il primo avvistamento di Necro da parte dei ricercatori dell’azienda è avvenuto in una versione modificata di Spotify. I creatori sostenevano - neanche a dirlo - che l'app fosse sicura per i dispositivi e che offrisse funzioni aggiuntive non presenti nell’app ufficiale, ma conteneva anche una sorpresa ben poco gradita.

In seguito, gli esperti di sicurezza hanno trovato anche una versione modificata di WhatsApp contenente il downloader Necro, seguita da versioni infette di giochi popolari, tra cui Minecraft, Stumble Guys o Car Parking Multiplayer. Necro è stato incorporato in queste applicazioni tramite un modulo pubblicitario non verificato.

La campagna Necro si è estesa oltre le piattaforme di terze parti ed è stata scoperta anche sul Play Store di Google. Il downloader dannoso è stato trovato nell’app Wuta Camera e in Max Browser. Prendendo per buoni i dati mostrati dal negozio di applicazioni, cumulando i download di queste app si ottiene un numero di installazioni complessivo che supera gli 11 milioni.

Sullo store virtuale di Google, Necro è stato distribuito anche tramite un messaggio pubblicitario non verificato. In seguito alla segnalazione di Kaspersky a Google, il codice dannoso è stato rimosso da Wuta Camera e Max Browser è stato ritirato dallo store. Tuttavia, chi bazzica le piattaforme non ufficiali e gli store terzi corre ancora il rischio di imbattersi in Necro.

Spesso gli utenti scaricano applicazioni non ufficiali e modificate per bypassare le restrizioni delle app ufficiali o accedere a funzionalità aggiuntive gratuite. I criminali informatici usano questo metodo, per diffondere malware attraverso queste applicazioni, poiché non c’è alcuna limitazione sulle piattaforme di terze parti - ha commentato Dmitry Kalinin, Cybersecurity Expert di Kaspersky. È inoltre importante notare che la versione di Necro incorporata in queste applicazioni abbia utilizzato tecniche di steganografia, nascondendo il suo payload all’interno di immagini per passare inosservato, un metodo insolito per il malware mobile.