Según investigadores de seguridad, los atacantes están atacando varias aplicaciones de Google Play y modificaciones no oficiales de aplicaciones populares para difundir malware peligroso. El supuesto troyano Necro es capaz de registrar pulsaciones de teclas, robar información confidencial, instalar malware adicional y ejecutar comandos de forma remota. Se han encontrado dos aplicaciones en la tienda de aplicaciones Google Play con este malware. Además, también se han detectado paquetes de aplicaciones de Android (APK) modificados (modificados) de aplicaciones como Spotify, WhatsApp y juegos como Minecraft que propagan el troyano.
Aplicación Google Play, Mod APK utilizada para difundir el troyano Necro
La primera vez que se descubrió un troyano de la familia Necro fue en 2019, cuando el malware infectó la popular aplicación de creación de PDF CamScanner. La versión oficial de la aplicación en Google Play con más de 100 millones de descargas representaba un riesgo para los usuarios, pero un parche de seguridad solucionó el problema en ese momento.
Según un estudio correo Según los investigadores de Kaspersky, se ha descubierto una nueva versión del troyano Necro en dos aplicaciones de Google Play. La primera es la aplicación Wuta Camera, que se ha descargado más de 10 millones de veces, y la segunda es Max Browser con más de un millón de descargas. Los investigadores han confirmado que Google eliminó la aplicación infectada después de que Kaspersky se pusiera en contacto con la empresa.
El problema surge principalmente de una gran cantidad de versiones “modificadas” no oficiales de aplicaciones populares, que se encontraron alojadas en una gran cantidad de sitios web de terceros. Los usuarios pueden descargarlo e instalarlo accidentalmente en sus dispositivos Android, infectándolos en el proceso. Algunos de los APK con malware descubiertos por los investigadores incluyen versiones modificadas de Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer y Melon Sandbox; estas versiones modificadas prometen a los usuarios acceso a funciones que normalmente requerirían una suscripción paga.
Curiosamente, parece que los atacantes están utilizando una variedad de métodos para atacar a los usuarios. Por ejemplo, el mod de Spotify contiene un SDK que muestra varios módulos de anuncios, según los investigadores. Los servidores de comando y control (C&C) se utilizan para implementar cargas útiles troyanos si los usuarios tocan accidentalmente módulos basados en imágenes.
De manera similar, en el mod de WhatsApp, se descubrió que los atacantes habían sobrescrito el servicio en la nube Firebase Remote Config de Google para usarlo como servidor C&C. En última instancia, al interactuar con el módulo se implementará y ejecutará la misma carga útil.
Una vez implementado, el malware puede “descargar archivos ejecutables, instalar aplicaciones de terceros y abrir enlaces aleatorios en ventanas WebView invisibles para ejecutar código JavaScript”, destacó la publicación de Kaspersky. Además, el malware también puede suscribirse a costosos servicios de pago sin que el usuario lo sepa.
Aunque se eliminó la aplicación de Google Play, se recomienda a los usuarios que tengan cuidado al descargar aplicaciones de Android de fuentes de terceros. Si no confían en el mercado, deben abstenerse de descargar o instalar aplicaciones o archivos.
