Trojan Necro đã tấn công 11 triệu người dùng Android như thế nào?
Người dùng bản mod các ứng dụng Spotify, WhatsApp, Minecraft và các ứng dụng khác từ Google Play đang có nguy cơ bị tấn công bởi Trojan Necro.
Necro là gì?
Năm 2019, các chuyên gia bảo mật của Kaspersky đã phát hiện 1 trojan có trong ứng dụng CamScanner, một ứng dụng nhận dạng văn bản, đã đạt hơn 100 triệu lượt tải xuống trên Google Play. Nay các chuyên gia đã tìm thấy một phiên bản giàu tính năng hơn trong cả các ứng dụng phổ biến trên Google Play và trong nhiều bản mod ứng dụng trên các trang web không chính thức. Rất có thể, các nhà phát triển của những ứng dụng này đã sử dụng một công cụ tích hợp quảng cáo chưa được xác minh mà Necro đã xâm nhập vào mã.
Necro ngày nay là một trình tải được làm tối nghĩa để tránh bị phát hiện (nhưng điều đó không ngăn cản chúng tôi tìm ra nó). Nó tải xuống phần tải trọng độc hại theo cách không kém phần tinh vi bằng cách sử dụng kỹ thuật ẩn chữ để ẩn mã của nó trong một hình ảnh có vẻ vô hại.
Và các mô-đun độc hại đã tải xuống có thể tải và chạy bất kỳ tệp DEX nào (mã biên dịch được viết cho Android), cài đặt các ứng dụng đã tải xuống, tạo đường hầm qua thiết bị của nạn nhân và thậm chí — có khả năng — xóa các đăng ký trả phí. Ngoài ra, chúng có thể hiển thị và tương tác với quảng cáo trong các cửa sổ vô hình, cũng như mở các liên kết tùy ý và chạy bất kỳ mã JavaScript nào.
Necro ẩn náu ở đâu?
Chúng tôi đã tìm thấy dấu vết của phần mềm độc hại trong phiên bản Spotify do người dùng sửa đổi, trong ứng dụng chỉnh sửa ảnh Wuta Camera, trong Max Browser và trong các bản mod cho cả WhatsApp và các trò chơi phổ biến (bao gồm cả Minecraft).
Trong Spotify bản mod
Ngay từ đầu cuộc điều tra, chúng tôi đã chú ý đến một sửa đổi bất thường của ứng dụng Spotify Plus. Người dùng được mời tải xuống phiên bản mới của ứng dụng yêu thích của họ từ một nguồn không chính thức — miễn phí và với đăng ký mở khóa cung cấp khả năng nghe không giới hạn, cả trực tuyến và ngoại tuyến. Nút Tải xuống Spotify MOD APK màu xanh lá cây đẹp mắt trông thật hấp dẫn, phải không? Dừng lại! Đó là phần mềm độc hại. Đừng bận tâm đến các đảm bảo về Chứng nhận chính thức và Đã xác minh bảo mật; ứng dụng này sẽ gây ra thảm họa.
Khi ứng dụng này được khởi chạy, Trojan đã gửi thông tin về thiết bị bị nhiễm đến máy chủ C2 của kẻ tấn công và phản hồi lại bằng liên kết để tải xuống hình ảnh PNG. Tải trọng độc hại đã được ẩn trong hình ảnh này bằng kỹ thuật ẩn chữ.
Trong các ứng dụng trên Google Play
Trong khi bản mod Spotify được phân phối qua các kênh không chính thức, Wuta Camera bị nhiễm Necro đã tìm đường vào Google Play, từ đó ứng dụng đã được tải xuống hơn 10 triệu lần. Theo dữ liệu của chúng tôi, trình tải Necro đã xâm nhập vào phiên bản 6.3.2.148 của Wuta Camera, với các phiên bản sạch bắt đầu từ 6.3.7.138. Vì vậy, nếu phiên bản của bạn thấp hơn phiên bản đó, bạn cần cập nhật ngay lập tức.
Đối tượng của Max Browser nhỏ hơn nhiều — chỉ một triệu người dùng. Necro đã xâm nhập vào mã ứng dụng của mình trong phiên bản 1.2.0. Ứng dụng đã bị xóa khỏi Google Play sau thông báo của chúng tôi, nhưng ứng dụng vẫn khả dụng trên các tài nguyên của bên thứ ba. Tất nhiên, chúng ta càng không nên tin tưởng những phiên bản trình duyệt bị trojan hóa này vì chúng vẫn có thể tồn tại ở đó.
Trong các bản mod cho WhatsApp, Minecraft và các ứng dụng phổ biến khác
Các ứng dụng nhắn tin thay thế thường có nhiều tính năng hơn so với các ứng dụng chính thức. Nhưng bạn nên coi tất cả các bản mod, dù là trên Google Play hay trang web của bên thứ ba, là đáng ngờ, vì chúng thường đi kèm với Trojan.
Ví dụ, chúng tôi thấy các bản mod cho WhatsApp có trình tải Necro được phân phối từ các nguồn không chính thức, cũng như các bản mod cho Minecraft, Stumble Guys, Car Parking Multiplayer và Melon Sandbox. Và lựa chọn này chắc chắn không phải ngẫu nhiên — kẻ tấn công luôn nhắm vào các trò chơi và ứng dụng phổ biến nhất.
Cách phòng ngừa Necro
Trước hết, chúng tôi khuyên bạn không nên tải xuống các ứng dụng từ các nguồn không chính thức vì nguy cơ thiết bị bị nhiễm virus là cực kỳ cao. Thứ hai, các ứng dụng trên Google Play và các nền tảng chính thức khác cũng nên được xử lý với sự hoài nghi lành mạnh. Ngay cả một ứng dụng phổ biến như Wuta Camera, với 10 triệu lượt tải xuống, cũng tỏ ra bất lực trước Necro.
Hãy đảm bảo bảo vệ thiết bị của bạn để không bị Trojan tấn công bất ngờ. Kaspersky for Android phát hiện Necro và các phần mềm độc hại tương tự khác.
Kiểm tra trang ứng dụng trong cửa hàng trước khi tải xuống. Chúng tôi đặc biệt khuyên bạn nên xem các đánh giá có xếp hạng thấp, vì chúng thường cảnh báo về những cạm bẫy tiềm ẩn. Đánh giá tích cực có thể là giả mạo, trong khi điểm tổng thể cao dễ bị thổi phồng.
Đừng tìm kiếm các bản mod hoặc phiên bản đã hack. Các ứng dụng như vậy hầu như luôn chứa đầy đủ các loại Trojan: từ loại vô hại nhất đến phần mềm gián điệp di động như CanesSpy.
Hương – Theo Kaspersky Blog
TIN CÙNG CHUYÊN MỤC
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...
Cuộc tấn công Microsoft 365 mới có thể p...
Người dùng chưa đủ 18 tuổi sẽ không được...
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...
Kỹ thuật hack này có thể cách ly may tín...
Tính năng Email được bảo vệ mới của Gmai...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Hướng dẫn cài đặt và kích hoạt Kaspersky for Windo...
- ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tên này
- Cuộc tấn công Microsoft 365 mới có thể phá vỡ hàng...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- Người dùng chưa đủ 18 tuổi sẽ không được dùng filt...
- Thông báo thời gian kì nghỉ công ty năm 2024
- Top 8 phần mềm chatbot AI miễn phí phổ biến hiện n...