Trojan Necro đã tấn công 11 triệu người dùng Android như thế nào?

Người dùng bản mod các ứng dụng Spotify, WhatsApp, Minecraft và các ứng dụng khác từ Google Play đang có nguy cơ bị tấn công bởi Trojan Necro.

Necro là gì?

Năm 2019, các chuyên gia bảo mật của Kaspersky đã phát hiện 1 trojan có trong ứng dụng  CamScanner, một ứng dụng nhận dạng văn bản, đã đạt hơn 100 triệu lượt tải xuống trên Google Play. Nay các chuyên gia đã tìm thấy một phiên bản giàu tính năng hơn trong cả các ứng dụng phổ biến trên Google Play và trong nhiều bản mod ứng dụng trên các trang web không chính thức. Rất có thể, các nhà phát triển của những ứng dụng này đã sử dụng một công cụ tích hợp quảng cáo chưa được xác minh mà Necro đã xâm nhập vào mã.

Necro ngày nay là một trình tải được làm tối nghĩa để tránh bị phát hiện (nhưng điều đó không ngăn cản chúng tôi tìm ra nó). Nó tải xuống phần tải trọng độc hại theo cách không kém phần tinh vi bằng cách sử dụng kỹ thuật ẩn chữ để ẩn mã của nó trong một hình ảnh có vẻ vô hại.

Và các mô-đun độc hại đã tải xuống có thể tải và chạy bất kỳ tệp DEX nào (mã biên dịch được viết cho Android), cài đặt các ứng dụng đã tải xuống, tạo đường hầm qua thiết bị của nạn nhân và thậm chí — có khả năng — xóa các đăng ký trả phí. Ngoài ra, chúng có thể hiển thị và tương tác với quảng cáo trong các cửa sổ vô hình, cũng như mở các liên kết tùy ý và chạy bất kỳ mã JavaScript nào.

Necro ẩn náu ở đâu?

Chúng tôi đã tìm thấy dấu vết của phần mềm độc hại trong phiên bản Spotify do người dùng sửa đổi, trong ứng dụng chỉnh sửa ảnh Wuta Camera, trong Max Browser và trong các bản mod cho cả WhatsApp và các trò chơi phổ biến (bao gồm cả Minecraft).

Trong Spotify bản mod

Ngay từ đầu cuộc điều tra, chúng tôi đã chú ý đến một sửa đổi bất thường của ứng dụng Spotify Plus. Người dùng được mời tải xuống phiên bản mới của ứng dụng yêu thích của họ từ một nguồn không chính thức — miễn phí và với đăng ký mở khóa cung cấp khả năng nghe không giới hạn, cả trực tuyến và ngoại tuyến. Nút Tải xuống Spotify MOD APK màu xanh lá cây đẹp mắt trông thật hấp dẫn, phải không? Dừng lại! Đó là phần mềm độc hại. Đừng bận tâm đến các đảm bảo về Chứng nhận chính thức và Đã xác minh bảo mật; ứng dụng này sẽ gây ra thảm họa.

Khi ứng dụng này được khởi chạy, Trojan đã gửi thông tin về thiết bị bị nhiễm đến máy chủ C2 của kẻ tấn công và phản hồi lại bằng liên kết để tải xuống hình ảnh PNG. Tải trọng độc hại đã được ẩn trong hình ảnh này bằng kỹ thuật ẩn chữ.

Trong các ứng dụng trên Google Play

Trong khi bản mod Spotify được phân phối qua các kênh không chính thức, Wuta Camera bị nhiễm Necro đã tìm đường vào Google Play, từ đó ứng dụng đã được tải xuống hơn 10 triệu lần. Theo dữ liệu của chúng tôi, trình tải Necro đã xâm nhập vào phiên bản 6.3.2.148 của Wuta Camera, với các phiên bản sạch bắt đầu từ 6.3.7.138. Vì vậy, nếu phiên bản của bạn thấp hơn phiên bản đó, bạn cần cập nhật ngay lập tức.

Đối tượng của Max Browser nhỏ hơn nhiều — chỉ một triệu người dùng. Necro đã xâm nhập vào mã ứng dụng của mình trong phiên bản 1.2.0. Ứng dụng đã bị xóa khỏi Google Play sau thông báo của chúng tôi, nhưng ứng dụng vẫn khả dụng trên các tài nguyên của bên thứ ba. Tất nhiên, chúng ta càng không nên tin tưởng những phiên bản trình duyệt bị trojan hóa này vì chúng vẫn có thể tồn tại ở đó.

Trong các bản mod cho WhatsApp, Minecraft và các ứng dụng phổ biến khác

Các ứng dụng nhắn tin thay thế thường có nhiều tính năng hơn so với các ứng dụng chính thức. Nhưng bạn nên coi tất cả các bản mod, dù là trên Google Play hay trang web của bên thứ ba, là đáng ngờ, vì chúng thường đi kèm với Trojan.

Ví dụ, chúng tôi thấy các bản mod cho WhatsApp có trình tải Necro được phân phối từ các nguồn không chính thức, cũng như các bản mod cho Minecraft, Stumble Guys, Car Parking Multiplayer và Melon Sandbox. Và lựa chọn này chắc chắn không phải ngẫu nhiên — kẻ tấn công luôn nhắm vào các trò chơi và ứng dụng phổ biến nhất.

Cách phòng ngừa Necro

Trước hết, chúng tôi khuyên bạn không nên tải xuống các ứng dụng từ các nguồn không chính thức vì nguy cơ thiết bị bị nhiễm virus là cực kỳ cao. Thứ hai, các ứng dụng trên Google Play và các nền tảng chính thức khác cũng nên được xử lý với sự hoài nghi lành mạnh. Ngay cả một ứng dụng phổ biến như Wuta Camera, với 10 triệu lượt tải xuống, cũng tỏ ra bất lực trước Necro.

Hãy đảm bảo bảo vệ thiết bị của bạn để không bị Trojan tấn công bất ngờ. Kaspersky for Android phát hiện Necro và các phần mềm độc hại tương tự khác.

Kiểm tra trang ứng dụng trong cửa hàng trước khi tải xuống. Chúng tôi đặc biệt khuyên bạn nên xem các đánh giá có xếp hạng thấp, vì chúng thường cảnh báo về những cạm bẫy tiềm ẩn. Đánh giá tích cực có thể là giả mạo, trong khi điểm tổng thể cao dễ bị thổi phồng.

Đừng tìm kiếm các bản mod hoặc phiên bản đã hack. Các ứng dụng như vậy hầu như luôn chứa đầy đủ các loại Trojan: từ loại vô hại nhất đến phần mềm gián điệp di động như CanesSpy.

Hương – Theo Kaspersky Blog