Necro Trojan powraca po niemal 5 latach. Jest ulepszony i antywirusy nie mogą go wykryć. Hakerzy ukrywają złośliwy kod w obrazach PNG. Problem wykryła firma Kaspersky. Necro Trojan mógł zainfekować urządzenia milionów użytkowników Androida.
Reklama.
Podobają Ci się moje artykuły? Możesz zostawić napiwek
Teraz możesz docenić pracę dziennikarzy i dziennikarek. Cała kwota trafi do nich. Wraz z napiwkiem możesz przekazać też krótką wiadomość.
Historia Necro Trojana sięga 2019 roku. Wtedy oprogramowanie malware namierzono w skanerze dokumentów CamScanner. Teraz wirus powrócił w nowej, udoskonalonej wersji. Necro Trojan jest w stanie uniknąć wykrycia przez popularne antywirusy.
Zagrożenie zauważyli analitycy z rosyjskiej firmy Kaspersky. Malware pojawiło się w aplikacjach takich jak Spotify Plus, Wuta Camery, czy Max Browser. Jednak działanie wirusa może dotyczyć znacznie dłuższej listy programów.
Zachęcamy do subskrybowania kanału INN:Poland na YouTube. Twoje ulubione programy "Rozmowa tygodnia", "Po ludzku o ekonomii" i "Koszyka Bagińskiego" możesz oglądać TUTAJ.
Necro Trojan "zainfekował" miliony użytkowników Androida
Kaspersky już na wstępie informuje, że nawet Google Playnie jest odporne na złośliwe oprogramowanie. Ryzyko zainfekowania systemu jest szczególnie wysokie, jeśli ktoś pobiera aplikacje z nieoficjalnych źródeł, czy z wgranymi modami.
Według analityków firmy, na całym świecie ofiarą Necro Trojana mogło paść 11 milionów użytkownikówAndroida. Ślady złośliwego oprogramowania wykryto we wspomnianych już aplikacjach m.in. Wuta Camery i Max Browser, ale także modach do WhatsAppa, czy popularnych gier, w tym Minecrafta.
Wirusa wykryto po raz pierwszy w aplikacji Spotify Plus
Uwagę ekspertów z Kaspersky przykuła nietypowa modyfikacja Spotify. W wersji "z plusem" użytkownicy otrzymywali dostęp do nieograniczonej biblioteki źródłowej aplikacji zarówno w trybie online, jak i offline.
Kaspersky poinformował, że Spotify Plus miało certyfikaty poświadczające ochronę użytkowników, jak na przykład gwarancje: Security Verified i Official Certification. Jednak przycisk Download Spotify MOD APK oznaczał ściągnięcie wirusa.
W jaki sposób Necro Trojan infekuje urządzenia?
W chwili uruchomienia aplikacji trojan wysyła informacje o zainfekowanym urządzeniu do serwera C2 (Command and Control), który jest wykorzystywany przez hakerów do utrzymywania komunikacji i sterowania.
Odpowiedzią na tę akcję jest link do pobrania obrazu w formacie PNG (Portable Network Graphics). Wirus ukrywa się w pliku graficznym. Złośliwy ładunek jest implementowany za pomocą steganografii.
Czym jest steganografia wykorzystywana przez hakerów?
Steganografia umożliwia wielowarstwowe ukrycie szkodliwych danych. Maskuje sam fakt, że są one przesyłane i odbieranie. Tym sposobem pozwala omijać zabezpieczenia firewall, a także DPI (Deep Packet Inspection), których używają systemy korporacyjne.
Jak tłumaczy serwis kapitanhack.pl na przykładzie wariantu wirusa ZeusVM. Szkodliwe oprogramowanie pobieraustawienia z pliku graficznego. Koniec obrazu zawiera zbędne informacje, które po odszyfrowaniu stają się plikiem danych konfiguracyjnych.
Steganografia jest dość nietypową techniką ukrywania i przemycania melware. Do najpopularniejszych zalicza się phishing, czyli dystrybucja złośliwego kodu za pośrednictwem e-maili.
Jak można się zabezpieczyć przed Necro Trojanem?
Pierwszym stopniem ochrony danych jest unikanie pobierania aplikacji z nieoficjalnych źródeł – w tym modów i wszelkich przeróbek. W ramach prewencji można zainstalować antywirusa na swoje urządzenie. Natomiast przed ściągnięciem aplikacji warto zweryfikować ją na stronie oprogramowania w sklepie.
Pomocną wskazówką odnośnie do tego, czy ma się do czynienia z podejrzanym oprogramowaniem, czy nie, są opinie w sklepach z aplikacjami. Należy zwrócić uwagę na negatywne komentarze – czy nie pojawiają się w nich oskarżenia o wirusa w aplikacji.