Trojan Necro infecta Google Play e versões de Spotify, Whatsapp e Minecraft no Brasil
Ataques foram direcionados ao Brasil, Rússia Vietnã, Equador e México
A empresa de segurança digital Kaspersky anunciou nesta segunda, 23/9, ter descoberto uma nova versão do Trojan Necro, que se infiltrou em vários aplicativos populares no Google Play e modificou aplicativos em plataformas não oficiais, incluindo Spotify, WhatsApp e Minecraft.
Necro é um downloader para Android que baixa e executa outros componentes maliciosos em dispositivos infectados com base em comandos emitidos pelos criadores do Trojan. Os ataques Necro identificados foram direcionados a usuários no Brasil, Rússia Vietnã, Equador e México.
A variante do Necro agora descoberta pode baixar módulos em smartphones infectados que exibem anúncios em janelas invisíveis e clicar neles, baixar arquivos executáveis, instalar aplicativos de terceiros e abrir links arbitrários em janelas invisíveis do WebView para executar código JavaScript.
As características técnicas desse Trojan provavelmente também permitem inscrever usuários em serviços pagos. Além disso, os módulos baixados permitem que os invasores redirecionem o tráfego da Internet através do dispositivo da vítima. Isso permite que os cibercriminosos visitem recursos proibidos ou desejados usando o dispositivo da vítima, potencialmente utilizando-o como parte de um botnet proxy.
A primeira descoberta do Necro foi em uma versão modificada do Spotify Plus. Os criadores do aplicativo alegaram que ele era seguro para dispositivos e oferecia recursos adicionais não encontrados no aplicativo oficial de streaming de música. Posteriormente, também foi encontrada uma versão modificada do WhatsApp contendo o downloader Necro, seguida por versões infectadas de jogos populares, incluindo Minecraft, Stumble Guys e Car Parking Multiplayer. O Necro foi incorporado a esses aplicativos por meio de um módulo de anúncio não verificado.
Essa campanha de ataque do Necro estendeu-se além de plataformas de terceiros e também foi descoberta no Google Play. O downloader malicioso foi encontrado no aplicativo Wuta Camera e no Max Browser. De acordo com as estatísticas do Google Play, os downloads combinados desses aplicativos ultrapassaram 11 milhões. Nesta plataforma, o Necro também foi distribuído através de um módulo de anúncios não verificado.
Após o relatório da Kaspersky Lab ao Google, o código malicioso foi removido da Wuta Camera e o Max Browser foi retirado da loja. No entanto, os usuários ainda correm o risco de encontrar o Necro em plataformas não oficiais.
