Une nouvelle version du malware Necro Trojan pour Android a été installée sur 11 millions d’appareils via Google Play lors d’attaques malveillantes de la chaîne d’approvisionnement du SDK.
Cette nouvelle version du cheval de Troie Necro a été installée via des kits de développement de logiciels publicitaires malveillants (SDK) utilisés par des applications légitimes, des mods de jeux Android et des versions modifiées de logiciels populaires, tels que Spotify, WhatsApp et Minecraft.
Necro installe plusieurs charges utiles sur des appareils infectés et active divers plugins malveillants, notamment:
- Adware qui charge les liens via des fenêtres WebView invisibles (plugin Island, SDK Cube)
- Modules qui téléchargent et exécutent des fichiers JavaScript et DEX arbitraires (SDK Happy, SDK Jar)
- Outils spécifiquement conçus pour faciliter la fraude à l’abonnement (plugin Web, SDK Happy, plugin Tap)
- Mécanismes qui utilisent les appareils infectés comme proxys pour acheminer le trafic malveillant (plugin Proxy)
Cheval de Troie Nécro sur Google Play
Kaspersky a découvert la présence de Necro loader sur deux applications sur Google Play, qui ont toutes deux une base d’utilisateurs importante.
Le premier est avec un appareil photo de ‘Banque’, un outil de retouche et d’embellissement de photos avec plus de 10 000 000 de téléchargements sur Google Play.
Les analystes des menaces rapportent que Necro est apparu sur l’application avec la sortie de la version 6.3.2.148, et qu’il est resté intégré jusqu’à la version 6.3.6.148, date à laquelle Kaspersky a averti Google.
Bien que le cheval de Troie ait été supprimé dans la version 6.3.7.138, toutes les charges utiles qui auraient pu être installées via les anciennes versions pourraient toujours se cacher sur les appareils Android.
La deuxième application légitime qui portait Necro est Max Browser de « WA message recover-wamr », qui comptait 1 million de téléchargements sur Google Play jusqu’à ce qu’elle soit supprimée, à la suite du rapport de Kaspersky.
Kaspersky affirme que la dernière version de Max Browser, 1.2.0, porte toujours Necro, donc il n’y a pas de version propre disponible pour la mise à niveau, et il est recommandé aux utilisateurs du navigateur Web de le désinstaller immédiatement et de passer à un autre navigateur.
Kaspersky affirme que les deux applications ont été infectées par un SDK publicitaire nommé « Coral SDK », qui utilisait l’obscurcissement pour masquer ses activités malveillantes et également la stéganographie d’image pour télécharger la charge utile de deuxième étape, shellPlugin, déguisée en images PNG inoffensives.
Google a déclaré à Breachtrace qu’ils étaient au courant des applications signalées et qu’ils les enquêtaient.
Sources officielles extérieures
En dehors du Play Store, le cheval de Troie Necro se propage principalement par le biais de versions modifiées d’applications populaires (mods) qui ont été distribuées via des sites Web non officiels.
Les exemples notables repérés par Kaspersky incluent les mods WhatsApp « GBWhatsapp » et « FMWhatsApp », qui promettent de meilleurs contrôles de confidentialité et des limites étendues de partage de fichiers. Un autre est le mod Spotify, « Spotify Plus », qui promet un accès gratuit à des services premium sans publicité.
Le rapport mentionne également des mods Minecraft et des mods pour d’autres jeux populaires comme Stumble Guys, Car Parking Multiplayer et Melon Sandbox, qui ont été infectés par le chargeur Necro.
Dans tous les cas, le comportement malveillant était le même: afficher des publicités en arrière—plan pour générer des revenus frauduleux pour les attaquants, installer des applications et des APK sans le consentement de l’utilisateur et utiliser des vues Web invisibles pour interagir avec des services payants.
Comme les sites Web non officiels de logiciels Android ne signalent pas les chiffres de téléchargement de manière fiable, le nombre total d’infections par cette dernière vague de chevaux de Troie Necro est inconnu, mais il est d’au moins 11 millions sur Google Play.