Gewijzigde versies van legitieme Android-apps die verband houden met Spotify, WhatsApp en Minecraft, zijn gebruikt om een nieuwe versie van een bekende malware-loader genaamd Necro te verspreiden.
Kaspersky zei dat sommige van de kwaadaardige apps ook in de Google Play Store zijn gevonden. Ze zijn cumulatief 11 miljoen keer gedownload. Ze omvatten –
- Wuta Camera – Nice Shot Always (com.benqu.wuta) – 10+ miljoen downloads
- Max Browser-Privé & Veiligheid (com.max.browser) – 1+ miljoen downloads
Op het moment van schrijven is Max Browser niet langer beschikbaar om te downloaden in de Play Store. Wuta Camera is daarentegen geüpdatet (versie 6.3.7.138) om de malware te verwijderen. De nieuwste versie van de app, 6.3.8.148, werd uitgebracht op 8 september 2024.
Het is nog niet duidelijk hoe beide apps in eerste instantie met malware zijn geïnfecteerd. Er wordt gedacht dat een frauduleuze software developer kit (SDK) voor het integreren van advertentiemogelijkheden de boosdoener is.
Necro (niet te verwarren met een gelijknamig botnet) werd voor het eerst ontdekt door het Russische cybersecuritybedrijf in 2019, toen het verborgen zat in een populaire documentscan-app genaamd CamScanner.
CamScanner gaf later de schuld aan een advertentie-SDK van een externe partij genaamd AdHub. Volgens CamScanner bevatte deze een schadelijke module om malware in de volgende fase van een externe server op te halen. Deze module fungeert in feite als een lader voor allerlei soorten malware op de apparaten van het slachtoffer.
De nieuwe versie van de malware is daarop geen uitzondering, hoewel deze gebruikmaakt van verhullingstechnieken om detectie te omzeilen. Hierbij wordt met name gebruikgemaakt van steganografie om payloads te verbergen.
“De gedownloade payloads kunnen onder andere advertenties weergeven in onzichtbare vensters en ermee interacteren, willekeurige DEX-bestanden downloaden en uitvoeren en de gedownloade applicaties installeren”, aldus Kaspersky-onderzoeker Dmitry Kalinin.
Het kan ook ‘willekeurige links openen in onzichtbare WebView-vensters en daarin JavaScript-code uitvoeren, een tunnel door het apparaat van het slachtoffer trekken en zich mogelijk abonneren op betaalde diensten.’
Een van de prominente leveringsvoertuigen voor Necro zijn aangepaste versies van populaire apps en games die worden gehost op onofficiële sites en app stores. Zodra ze zijn gedownload, initialiseren de apps een module met de naam Coral SDK, die op zijn beurt een HTTP POST-verzoek naar een externe server stuurt.
De server reageert vervolgens met een link naar een zogenaamd PNG-afbeeldingsbestand dat gehost wordt op adoss.spinsok(.)com, waarna de SDK de belangrijkste payload – een Base64-gecodeerd Java-archiefbestand (JAR) – eruit extraheert.
De kwaadaardige functies van Necro worden gerealiseerd via een set extra modules (ook wel plug-ins genoemd) die worden gedownload van de command-and-control (C2)-server, waardoor het een breed scala aan acties kan uitvoeren op het geïnfecteerde Android-apparaat –
- NProxy – Creëer een tunnel via het apparaat van het slachtoffer
- eiland – Genereer een pseudo-willekeurig getal dat wordt gebruikt als een tijdsinterval (in milliseconden) tussen de weergave van opdringerige advertenties
- web – Neem periodiek contact op met een C2-server en voer willekeurige code uit met verhoogde rechten bij het laden van specifieke links
- Cube SDK – Een hulpmodule die andere plug-ins laadt om advertenties op de achtergrond te verwerken
- Tap – Download willekeurige JavaScript-code en een WebView-interface van de C2-server die verantwoordelijk zijn voor het heimelijk laden en bekijken van advertenties
- Happy SDK/Jar SDK – Een module die NProxy en webmodules combineert met enkele kleine verschillen
De ontdekking van Happy SDK doet vermoeden dat de kwaadwillenden achter de campagne ook experimenteren met een niet-modulaire versie.
“Dit suggereert dat Necro zeer aanpasbaar is en verschillende versies van zichzelf kan downloaden, wellicht om nieuwe functies te introduceren”, aldus Kalinin.
Uit door Kaspersky verzamelde telemetriegegevens blijkt dat het tussen 26 augustus en 15 september 2024 wereldwijd meer dan tienduizend Necro-aanvallen heeft geblokkeerd, waarbij Rusland, Brazilië, Vietnam, Ecuador, Mexico, Taiwan, Spanje, Maleisië, Italië en Turkije de meeste aanvallen voor hun rekening namen.
“Deze nieuwe versie is een multi-stage loader die steganografie gebruikt om de payload van de tweede fase te verbergen, een zeer zeldzame techniek voor mobiele malware, en ook verduistering om detectie te ontwijken”, aldus Kalinin.
“De modulaire architectuur biedt de makers van de Trojan een breed scala aan opties voor zowel massale als gerichte levering van loader-updates of nieuwe kwaadaardige modules, afhankelijk van de geïnfecteerde applicatie.”